Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Nach Cyberattacke: Neuordnung der Führungsstruktur bei Südwestfalen-IT

Das kommunale Dienstleistungsunternehmen Südwestfalen-IT (SIT) hat nach dem folgenschweren Cyberangriff im vergangenen Jahr personelle Konsequenzen gezogen. Einem ehemaligen Geschäftsführer, der noch Gehalt kassierte, wurde gekündigt. Gegen weitere Mitarbeiter wurden Disziplinarmaßnahmen eingeleitet. Das meldete am Montag der Branchendienst it-daily.net.

Anzeige

Laut dem Bericht des Online-Portals ordnet die SIT zudem ihre Führungsstruktur komplett neu. Die bisherige Organisationsform mit einer "aufgeblähten" 119-köpfigen Verbandsversammlung und einem von Politikern dominierten Vorstand werde reformiert, heißt es. Künftig sollen mehr IT-Experten dem Gremium angehören. Überdies sollen "klare Verantwortlichkeiten, gestraffte Entscheidungswege und professionellere Führungsstrukturen" in Zukunft Sicherheitspannen verhindern helfen.

Zwei frühere Geschäftsführer der SIT wurden nach Recherchen der Lokalzeitung Westfalenpost entlassen. Einer beiden ist zwar seit März 2022 nicht mehr in der aktiven Geschäftsführung tätig, bezog aber weiterhin volles Gehalt. Der andere Geschäftsführer verließ das kommunale Unternehmen kurz vor der folgenschweren Cyberattacke vom 30. Oktober 2023. Laut einem Compliance-Bericht der Anwaltskanzlei CMS haben beide grundlegende Sicherheitsvorkehrungen missachtet.

Die Ransomware-Bande Akira machte sich ein schwaches Passwort, fehlende Mehrfaktor-Authentifizierung und eine schlecht gepflegte VPN-Appliance für den Angriff zunutze. Die bislang folgenreichste Attacke auf den öffentlichen Sektor in der Bundesrepublik betraf über 70 Kommunen mit insgesamt rund 1,7 Millionen Einwohnern. Die Kommunen finanzieren die SIT und haben ihre IT weitgehend an das Unternehmen ausgelagert. Trotz der katastrophalen Auswirkungen der Attacke lehnten die Südwestfalen-IT und die Kommunen eine Lösegeldzahlung ab. Erst neun Monate nach der Attacke waren die Auswirkungen des Cyberangriffs weitgehend behoben.

Weiterlesen
  39 Aufrufe

Windows 11: Security-Updates für "das sicherste Betriebssystem der Welt"

Im Rahmen der Ignite kündigt Microsoft wichtige Aktualisierungen für Windows an. Insbesondere der Bereich Sicherheit steht im Fokus der diesjährigen Hausmesse – immerhin sei Windows 11 bereits "das sicherste Betriebssystem der Welt", wie die Ankündigung betont. Da das aber augenscheinlich nicht genügt, hat Microsoft jetzt die Windows Resiliency Initiative ins Leben gerufen. Sie soll in vier Schritten die Security verbessern.

Anzeige

Als Erstes will Microsoft aus den Erkenntnissen lernen, die die Windows-Entwickler nach dem CrowdStrike-Desaster gewonnen haben. Außerdem sollen mehr Anwendungen und Nutzer ohne Admin-Rechte auskommen. Hinzu kommen ferner strengere Kontrollen, welche Applikationen und Treiber ausgeführt werden dürfen. Und schließlich will Microsoft den Identitätsschutz verbessern, um Phishing-Angriffe zu verhindern.

Was bedeutet das konkret? Infolge des CrowdStrike-Ausfalls veröffentlicht Microsoft die Funktion Quick Machine Recovery. Hierüber können Administratoren spezifische Fixes via Windows Update ihrer verwalteten Systeme vornehmen – und das auch aus der Ferne, ein physischer Zugang ist nicht nötig. So sollen die Anwender bei einem Fehler wieder schneller als bislang mit ihren Rechnern arbeiten können. Windows Insider können das Feature ab Anfang 2025 testen.

Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der Dezember-iX: PyCharm, VS Code und Neovim als Entwicklungsumgebungen für Python.

Weiterlesen
  41 Aufrufe

heise-Angebot: iX-Workshop für KMUs: Schritt für Schritt zur sicheren IT

Sie arbeiten in einem kleinen bis mittelgroßen Unternehmen (KMU) und möchten Ihre Sicherheit verbessern? In unserem iX-Workshop Effiziente IT-Sicherheit für kleine und mittlere Unternehmen erhalten Sie an zwei Vormittagen sinnvolle Ansätze für einen kosteneffizienten Schutz und lernen praxisnahe Lösungen und Strategien kennen – speziell auf die Bedürfnisse von KMUs zugeschnitten.

Anzeige

Ausgehend von der aktuellen Bedrohungslage im Bereich der Informationstechnologie erläutern Ihnen unsere Sicherheitsexperten, welche konkreten Schritte Sie unternehmen können, um Ihr Unternehmen abzusichern. Sie erfahren, wie Sie auch mit begrenzten Ressourcen effiziente Maßnahmen ergreifen können, um Ihre IT-Sicherheit zu verbessern und Risiken zu minimieren. Neben grundlegenden Tätigkeiten, Best Practices und typischen Fallstricken werden auch praktische Meilensteine für Ihre Projektplanung vorgestellt.

Dieser Einführungsworkshop legt den Fokus auf einen allgemeinen Überblick über die relevanten Themen und Technologien. Diskussionen dienen der Veranschaulichung der Inhalte und Sie haben die Möglichkeit, sich aktiv einzubringen und Fragen zu stellen. Trainer dieses Kurses sind Sicherheitsexperten der secuvera GmbH: Ann-Kathrin Udvary - leitende Cybersicherheitsberaterin und Viktor Rechel - leitender Cybersicherheitsberater.

Der Workshop richtet sich an Unternehmen mit 10 bis 1.000 Mitarbeitenden, die über kein oder nur ein rudimentäres Informationssicherheits-Managementsystem (ISMS) verfügen. Dabei spielt es keine Rolle, ob Sie Ihre IT-Administration selbst durchführen oder an einen IT-Dienstleister ausgelagert haben. Er dient als Einführung in das Thema Cyber- und IT-Sicherheit und richtet sich daher vorrangig an diejenigen, die in ihrer Firma für Geschäftsrisiken, Strategie und/oder Administration zuständig sind.

Weiterlesen
  0 Aufrufe

Malvertising: Fake-Werbung auf Facebook zielt auf Bitwarden-Nutzer ab

Sicherheitsforscher von Bitdefender Labs beschreiben auf ihrem Blog eine sogenannte Malwaretising-Kampagne, die offenbar vor allem auf Facebook-Business-Accounts abzielt. Opfern drohten möglicherweise finanzielle Verluste.

Anzeige

Cyberkriminelle haben demnach Werbeanzeigen auf der Plattform geschaltet, um Malware zu verbreiten. Der sogenannte Sponsored Post bewarb ein vermeintliches Sicherheitsupdate der Chrome-Erweiterung des Passwortmanagers Bitwarden. Die Werbung verlinkte auf eine Fake-Webseite, die dem offiziellen Google Chrome Web Store nachempfunden war.

Mit der Installationsanleitung auf der gefälschten Webseite versuchten die Cyberkriminellen, ihre Opfer dazu zu verleiten, die Sicherheitsprüfmechanismen des Browsers zu umgehen: Nach dem Klick auf den "Add to Chrome"-Button auf der Webseite wurde das Opfer zu einem Google-Drive-Link weitergeleitet, der die Malware enthielt, verpackt in eine -zip-Datei. Als Nächstes sollten die Opfer die .zip-Datei entpacken und dann in den Chrome-Einstellungen in den Developer-Modus wechseln, um anschließend die entpackte, schädliche Erweiterung manuell zu installieren.

Einmal installiert, fragt die Malware weitreichende Berechtigungen an, die es ihr ermöglichen, die Online-Aktivitäten der Nutzer zu manipulieren: etwa Berechtigungen, um mit Webseiten zu interagieren, Netzwerkanfragen zu modifizieren sowie Zugriff auf Cookies und Storage. Das Herzstück des Angriffs ist ein Skript namens "background.js". Es extrahiert IP- und Standortdaten sowie Facebook-Cookies und Account-Daten, darunter auch Zahlungsinformationen wie Kreditkartendaten und Rechnungsadressen. Das background.js-Skript leitet diese an eine Google Apps Skript URL weiter, die den Angreifern als Command-and-Control-Server dient.

Weiterlesen
  38 Aufrufe

Sicherheitslücke: Azure Stack HCI für Attacke anfällig

Wenn Admins virtuelle Maschinen mit Azure Stack HCI hosten, sollten sie die aktuelle Version installieren, um Attacken vorzubeugen.

Anzeige

In einer Warnmeldung schreibt Microsoft, dass die Sicherheitslücke (CVE-2024-49060) mit dem Bedrohungsgrad "hoch" eingestuft ist. Bislang sind den Autoren zufolge keine Angriffe bekannt, sie könnten aber bevorstehen. Abhilfe schafft ein Sicherheitsupdate, das ab Azure Stack HCI 2411 implementiert ist.

Sind Attacken erfolgreich, können sich Angreifer höhere Rechte aneignen. Wie das im Detail ablaufen könnte, ist bislang nicht bekannt. Microsoft gibt an, dass Angreifer für eine Attacke bereits authentifiziert sein müssen, um auf einen verwundbaren Azure Stack HCI Cluster zugreifen zu können. Das könne etwa über SSH gelingen.

Weiterlesen
  44 Aufrufe

Pistorius: "Niemand glaubt, dass diese Kabel aus Versehen durchtrennt wurden"

Der Ausfall von zwei Datenkabeln in der Ostsee ist laut Bundesverteidigungsminister Boris Pistorius wahrscheinlich auf Sabotage zurückzuführen. Man müsse davon ausgehen, dass die zwei Seekabel absichtlich beschädigt wurden, sagte Pistorius am Rande eines Treffens von EU-Amtskollegen in Brüssel.

Anzeige

"Niemand glaubt, dass diese Kabel aus Versehen durchtrennt worden sind", sagte Pistorius. "Von daher müssen wir konstatieren – ohne konkret zu wissen, von wem es kommt – dass es sich um eine hybride Aktion handelt." Beweise für eine Sabotage gebe es derzeit aber noch nicht.

Am Montag hatte die finnische Staatsfirma Cinia mitgeteilt, dass das Seekabel C-Lion1 zwischen Deutschland und Finnland defekt ist. Der Grund für den Ausfall werde aktuell untersucht, erklärte ein Cinia-Sprecher. "Störungen treten von Zeit zu Zeit auf, und dafür kann es verschiedene Gründe geben. Zum Beispiel sind Seekabel anfällig für Witterungseinflüsse und Schäden durch den Transport. Das Wichtigste ist, dass das Problem erkannt und Abhilfe geschaffen wird."

Das finnische Außenministerium und das Auswärtige Amt in Berlin zeigten sich über den Ausfall "zutiefst besorgt". Bereits am Sonntag war zudem ein Datenkabel zwischen Litauen und Schweden beschädigt worden.

Weiterlesen
  38 Aufrufe

Veritas Enterprise Vault: Kritische Codeschmuggel-Lücken in Archivsoftware

Die E-Mail-Archivierung- und Datenaufbewahrungssoftware Veritas Enterprise Vault ermöglicht Angreifern aus dem Netz, Schadcode einzuschleusen und auszuführen. Ein Update ist offenbar erst später im kommenden Jahr geplant ("third quarter of CY25", vermutlich für Calendar Year 25). IT-Verantwortliche sollten bis dahin temporäre Gegenmaßnahmen ergreifen, um den Missbrauch der Schwachstellen weniger wahrscheinlich zu machen.

Anzeige

In einer Sicherheitsmitteilung weist Veritas auf die Softwarefehler hin. Insgesamt sieben als kritisches Risiko eingestufte Sicherheitslecks hat demnach Trend Micros Zero-Day-Initiative (ZDI) an Veritas gemeldet. Ohne die extern gemeldeten Ergebnisse zu würdigen, schreibt Veritas darüber: "Veritas hat ein Problem entdeckt, bei dem Veritas Enterprise Vault das Ausführen von Code aus dem Netz auf verwundbaren Enterprise Vault Servern erlaubt".

CVE-Schwachstelleneinträge gibt es derzeit noch nicht. Jedoch schreibt Veritas, dass die Lücken einen CVSS-Wert von 9.8 erreichen und damit als kritisches Sicherheitsrisiko gelten. Beim Starten der Enterprise-Vault-App startet diese wiederum Dienste, die auf zufälligen .Net-Remoting-TCP-Ports auf Befehle von Client-Apps lauschen. Diese TCP-Ports lassen sich missbrauchen aufgrund von Schwachstellen, die vom .Net-Remoting-Dienst stammen. Angreifer können sowohl TCP-Remoting-Dienste als auch lokale IPC-Dienste auf dem Enterprise-Vault-Server attackieren. Der Schwachstellentyp lautet "Ausführung von Schadcode aus dem Netz aufgrund Deserialisierung von nicht vertrauenswürdigen Daten".

Es müssen einige Bedingungen erfüllt sein, damit die Lücken angreifbar sind: Angreifer müssen RDP-Zugriff auf eine VM im Netzwerk haben. Dazu müssen sie einen Zugang mit einem Konto erlangen, das Mitgleid der RDP-Nutzergruppe ist. Zudem müssen Angreifer die IP-Adresse des Enterprise-Vault-Servers kennen, die zufälligen Prozess-IDs davon, die dynamisch vergebenen TCP-Ports sowie "Remotable Object"-URIs des Servers. Als weitere Hürde müsse die Firewall auf dem Server unzureichend konfiguriert sein. Sind diese Voraussetzungen gegeben – der CVSS-Wert spricht dafür, dass das schwerer klingt, als es praktisch ist –, können bösartige Akteure durch das Senden präparierter Anfragen aus dem Netz Schadcode einschleusen und ausführen.

Weiterlesen
  40 Aufrufe

Sicherheitsupdates für Nextcloud: Unberechtigte Zugriffe möglich

Alert!

Mehrere Komponenten von Nextcloud sind verwundbar. Admins sollten ihre Instanzen zeitnah mittels verfügbarer Sicherheitspatches absichern.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Anzeige

Wer Daten in seiner eigenen Cloud mittels Nextcloud speichert, sollte die Filehostingsoftware aus Sicherheitsgründen auf den aktuellen Stand bringen. In aktuellen Versionen haben die Entwickler mehrere Schwachstellen geschlossen.

Anzeige

Weiterlesen
  40 Aufrufe

Attackierte Lücken: FortiClient, Kemp Loadmaster, PAN-OS, VMware vCenter

Aktuell kommt es zu vermehrten Angriffen auf Sicherheitslücken in weiter verbreiteter Soft- und Hardware. Neue Warnungen vor beobachteten Attacken in freier Wildbahn auf Schwachstellen in FortiClient, Kemp Loadmaster, PAN-OS und VMware vCenter haben die Hersteller oder Behörden herausgegeben.

Anzeige

Die US-amerikanische IT-Sicherheitsbehörde CISA etwa warnt davor, dass zwei Sicherheitslücken in Palo Alto Networks PAN-OS aktiv missbraucht werden (CVE-2024-0012, CVE-2024-9474). Um diese Lücken gab es in den vergangenen Tagen jedoch bereits Aufregung. Hierfür stehen offenbar Updates bereit, die Lücken zu schließen – am Montag war das noch nicht der Fall. Außerdem greifen bösartige Akteure eine Codeschmuggel-Lücke im Loadbalancer Kemp Loadmaster an, für die sie nicht einmal eine Authentifizierung benötigen (CVE-2024-1212, CVSS 10.0, Risiko "kritisch"). Der Hersteller Progress hat dafür bereits im Februar Software-Updates zum Schließen der Lücke veröffentlicht.

Zwei Sicherheitslücken in VMware vCenter Server hat Broadcom im September mit einem Update geschlossen. Eine davon gilt als kritisch und ermöglicht Angreifern aus dem Netz, Schadcode einzuschleusen. Die zweite Lücke erlaubt Angreifern, ihre Rechte im System auszuweiten. Genau das machen Cyberkriminelle derzeit. In der Sicherheitsmitteilung schreibt Broadcom mit einer Aktualisierung vom Montag dieser Woche: "VMware by Broadcom bestätigt, dass aktiver Missbrauch in freier Wildbahn für CVE-2024-38812 aufgetreten ist". Dasselbe wiederholt der Hersteller für die Lücke CVE-2024-38813. Es gab zudem ein weiteres Problem mit den Updates aus dem September, sie haben die Sicherheitslücken nicht ausreichend ausgebessert. Am 21. Oktober haben die Entwickler daher nochmals aktualisierte Patches veröffentlicht. IT-Verantwortliche, die vor diesem Datum das Update instaliiert haben und sich sicher wähnen, sollten dennoch aktiv werden und den korrekten Fix anwenden.

Vom Wochenende stammt noch eine Warnung vor einer Sicherheitslücke in dem Windows-VPN-Client Forticlient von Fortinet. Bei der Analyse einer Malware im Juli dieses Jahres stießen die IT-Sicherheitsforscher von Volexity auf eine Schwachstelle im Forticlient 7.4.0. Der VPN-Client behält Zugangsdaten auch nach der Authentifizierung im VPN im Prozessspeicher. Die mutmaßlich chinesischen Angreifer haben diese Zero-Day-Lücke im südostasiatischen Raum missbraucht. "Volexity hat die Schwachstelle am 18. Juli 2024 an Fortinet gemeldet, und Fortinet bestätigte das Problem am 24. Juli 2024. Zum Mitteilungszeitpunkt bleibt das Problem ungelöst und Volexity hat keine Kenntnis einer zugeteilten CVE-Schwachstellennummer", schreiben die Forscher am 15. November. Zum Schutz sollen Admins die Hinweise für einen Angriff (IOCs) blockieren, die Volexity hier gesammelt hat. Die IT-Forscher stellen zudem YAR-Regeln bereit, die IT-Verantwortliche einsetzen können.

Weiterlesen
  37 Aufrufe

Kritische Palo-Alto-Lücke: Patches sind da, CISA warnt vor Exploit

Nach mehreren Warnungen und zwischenzeitlich publik gewordenen Angriffen hat Palo Alto nun Patches für eine seit Anfang November bekannte Lücke in seinem Betriebssystem PAN-OS herausgegeben. Zudem teilt der Firewallhersteller mit, dass es sich bei dem zum Codeschmuggel genutzten Softwarefehler tatsächlich um zwei handelt: Zunächst können sich Angreifer an der Anmeldung vorbeimogeln und dann dem Gerät eigenen Programmcode unterschieben.

Anzeige

Der in Untergrundforen kursierende Exploit macht sich offenbar beide Lücken nacheinander zunutze. Die Umgehung der Anmeldung ermöglicht der mit CVE-2024-0012 bezeichnete Fehler (CVSS 9,3, kritisch), er verschafft einem anonymen Angreifer über das Netz Administratorprivilegien. Mithilfe des zweiten Bugs, CVE-2024-9474 (CVSS 6,9, mittel) schmuggeln Cracker dann eigenen Code ein – in bekannt gewordenen Angriffen war das eine Webshell zur Ausführung beliebiger Systemkommandos. Beide Lücken klaffen in der Web-Verwaltungsoberfläche von PAN-OS.

Palo Alto hat mittlerweile zwei separate Sicherheitshinweise für die Lücken CVE-2024-0012 (Codeschmuggel) und CVE-2024-9474 (Rechteausweitung) veröffentlicht. Die betroffenen Versionen von PAN-OS sind in beiden Fällen 10.1, 10.2, 11.0, 11.1 und 11.2 in allen Ausgaben.

Die Patches tragen die Versionsnummern

Weiterlesen
  35 Aufrufe

Microsoft 365 Admin-Center: Multi-Faktor-Authentifizierung bald obligatorisch

Microsoft will Microsoft-365-Konten effektiver vor Cyberattacken schützen und verschärft dafür die Anmeldung im Admin-Center. Anfang 2025 soll die Einführung einer verpflichtenden Multi-Faktor-Authentifizierung (MFA) beginnen.

Anzeige

Ist MFA aktiv, benötigt man neben dem Passwort noch einen Code zum Einloggen. Diesen erzeugt etwa eine Authenticator-App. Kennt ein Angreifer bereits ein Kennwort, reicht das mit aktiver MFA nicht mehr aus, um auf einen Account zuzugreifen und ihn zu kompromittieren. Neben dem Passwort ist noch ein MFA-Code zum Anmelden notwendig.

In einem Beitrag führt Microsoft aus, dass MFA für das Admin-Center von Microsoft 365 verpflichtend werden soll. Damit wollen sie eigenen Angaben zufolge ab Februar 2025 starten. Natürlich können Admins MFA schon jetzt in den Kontoeinstellungen aktivieren. Dort können sie auch prüfen, ob das erweiterte Anmeldeverfahren bereits aktiv ist.

Um die Umstellung zu erleichtern, stellt Microsoft in einem Beitrag Informationen zur gehärteten Anmeldung zusammen. Dort findet sich auch eine FAQ zur Thematik, und es gibt etwa Vorschläge, wie die Umstellung im Kontext von Third-Party-Identity-Anbietern funktioniert.

Weiterlesen
  63 Aufrufe

Sicherheitsupdates: PostgreSQL für Schadcode-Attacken anfällig

In aktuellen PostgreSQl-Versionen haben die Entwickler vier Softwareschwachstellen geschlossen. Im schlimmsten Fall kann Schadcode auf Systeme gelangen und diese kompromittieren. Sicherheitsupdates sind verfügbar. Für einen Versionsstrang sind das aber die letzten Patches.

Anzeige

Im Sicherheitsbereich der Websites des Datenbankmanagementsystems führen die Entwickler die gegen mögliche Attacken gerüsteten Versionen 12.21, 13.17, 14.14, 15.9, 16.5 und 17.1 auf. Am gefährlichsten gilt eine Lücke (CVE-2024-10979 "hoch") die die PL/Perl-Komponente betrifft. An dieser Stelle können Angreifer ohne Authentifizierung Umgebungsvariablen manipulieren, um Schadcode auszuführen.

Setzen Angreifer erfolgreich an den anderen Schwachstellen (CVE-2024-10976 "mittel", CVE-2024-10977 "niedrig", CVE-2024-10978 "mittel") an, können sich sich unter anderme als Man-in-the-Middle in Verbindungen einklinken.

Bislang gibt es noch keine Berichte zu laufenden Attacken. Admins sollten trotzdem zügig handeln und Instanzen absichern. Die Entwickler weisen darauf hin, dass für PostgreSQL 12 der Support ausgelaufen ist und dieser Versionsstrang nun zum letzten Mal Sicherheitsupdates bekommt. Ab jetzt auftauchende Lücken werden nicht mehr geschlossen und die Software kann Systeme gefährden. Um Computer auch weiterhin zu schützen, müssen Admins ein Upgrade auf eine noch unterstützte Ausgabe durchführen.

Weiterlesen
  50 Aufrufe

Palo-Alto: Ungepatchter Zero-Day für Security-Appliances aufgetaucht

Administratoren von Palo-Alto-Firewalls erwartet neues Ungemach. Für eine Sicherheitslücke, die in der vergangenen Woche vom Hersteller gemeldet wurde, wird nun in einem Untergrundforum ein Exploit verkauft. Palo Alto hat seinen Sicherheitshinweis dementsprechend erweitert, aber keine Patches bereitgestellt. Betroffene sollen die Web-Verwaltungsoberfläche vom Internet nehmen.

Anzeige

Die Sicherheitslücke versteckt sich in der Web-GUI und erlaubt unangemeldeten Angreifern, eigenen Code einzuschleusen, so der Sicherheitshinweis. Dieser geizt jedoch mit Details oder einer CVE-ID, der CVSS-Punktwert von 9,3 lässt jedoch erahnen, wie heikel der Fehler ist. Er sei leicht aus der Ferne durch Angreifer auszunutzen, die dafür keine Anmeldung benötigen – und das ohne Zutun eines legitimen Nutzers. Exploits mit einer solchen Beschreibung eignen sich hervorragend für die automatisierte Ausnutzung.

Und offenbar passiert genau das bereits, denn im Untergrundforum "Exploit" steht Angriffscode zum Verkauf. Palo Alto hat bereits drei VPN-Adressen ausfindig gemacht, die die Lücke offenbar erfolgreich ausnutzten, weitere dürften folgen. Die Angreifer luden eine "Webshell", also ein Skript zur Ausführung beliebiger Kommandos über eine Weboberfläche, auf den übernommenen Geräten hoch.

Erste Meldungen über die Sicherheitslücke gab es bereits vergangene Woche, Patches oder genaue Versionsinformationen suchen Administratoren auf der Palo-Alto-Seite jedoch vergeblich. Man solle sich über die Geräteverwaltung im eigenen Supportkonto informieren, welche Geräte der Aufmerksamkeit bedürfen, so der Hersteller lediglich. Das Management-Interface darf nicht über das Internet zugreifbar sein, was gemäß verschiedener internetweiter Scans trotzdem noch bei zwischen 9.000 und 31.000 Palo-Alto-Geräten der Fall ist.

Weiterlesen
  46 Aufrufe

Vor 40 Jahren: der Btx-Hack feiert fröhliche Urständ​

In der Nacht vom 16. auf den 17. November 1984 wählten sich zwei Mitglieder der "Btx-Redaktion" des Chaos Computer Clubs (CCC) über das Ortsnetz der Deutschen Bundespost mit der Kennung und dem Passwort der Hamburger Sparkasse in das junge Btx-System ein. Sie starteten ein 31 Zeilen langes Basic-Programm, das 14 Stunden lang eine kostenpflichtige Anbieter-Seite des CCC ansteuerte. Sie enthielt nur einen seltsamen Text: "Es erfordert ein bemerkenswertes Team, den Gilb zurückzudrängen und ein Volk von 60 Millionen Menschen zu befreien." Für jeden Aufruf dieser Seite gab es 9,97 Mark, die theoretisch dem CCC zustanden. Mit diesem "Bankraub" wurde der CCC schlagartig bekannt.

Anzeige

Die Geschichte des berühmten Btx-Hacks hat eine Vorgeschichte und eine Nachgeschichte. Beginnen wir mit der Nachgeschichte: Vor zehn Jahren lud die Wau-Holland-Stiftung zwei noch lebende Protagonisten des "Bankraubes" zu einer Veranstaltung ins Berliner bcc, dem Ort vieler Chaos Computer Congresse. Steffen Wernéry, im Btx-System als Leitstelle 23 unterwegs und Erik Danke, technischer Leiter des Btx-Systems bei der damals gelben Post, bestritten das Programm. Beide blieben bei ihren höchst unterschiedlichen Darstellungen. Erik Danke behauptete, dass jemand dem CCC eine Btx-Kennung mit dem zugehörigen Passwort verraten haben muss, Wernéry erklärte, dass man bei einem technisch provozierten Seitenüberlauf eine Kennung gefunden habe und später das Passwort usd7000 ermittelte. Auf der von der Stiftung akribisch dokumentierten Veranstaltung forderte ein junger Zuhörer die Überprüfung des Quellcodes. Doch der ist frühzeitig beim Lieferanten des Systems in den IBM-Archiven verloren gegangen.

Nicht nur die Öffentlichkeit, sondern auch die Btx-Betreiber wurden von der Aktion überrascht, mit der der CCC virtuell 134.634,88 DM einnehmen konnte. Um sich händische Arbeit bei der Bedienung von Btx zu sparen, schrieb Wau Holland ein Programm für den programmierbaren Taschenrechner Olivetti M10. Das Programm steuerte das Kassettenrecorder-Motor-Relais des Rechners an, um die Tastendrücke zu automatisieren:

10 REM Bankraub.ba20 REM Version 1.0030 REM (c) 1984 by Wau40 MOTOR OFF:´Relais f. Geldtaste100 CLS:PRINT"Bankraub.ba -Wiederanlaufprozedur"110 INPUT "Geldeingang bisher: ";GELD120 EIN=52:´Timewert Taste an130 AUS=169:´Timewert Taste aus150 CLS:PRINT@0,"DM ";GELD,"ein: ";EIN;" aus: ";AUS;160 PRINT@90,"a<<<< aus >>>>A"170 PRINT@130,"e<<<< ein >>>>E"180 PRINT@170,"Halt mit x "190 PRINT@210,TIME$:GOTO 1100200 REM Rautenschleife210 MOTOR ON:PRINT@40,"EIN":PRINT@60,TIME$:FOR I=1 TO EIN:GOSUB 1000:NEXT I220 MOTOR OFF:PRINT@40,"AUS":FOR I=1 TO EIN:GOSUB 1000:NEXT I230 MOTOR ON:PRINT@40,"EIN":FOR I=1 TO EIN:GOSUB 1000:NEXT I240 MOTOR OFF:PRINT@40,"AUS":FOR I=1 TO AUS:GOSUB 1000:NEXT I250 GELD=GELD+9.97:PRINT@0,"DM";GELD,"Ein: ";EIN;" Aus: ";AUS;260 GOTO 2001000 REM Geschwindigkeit1010 X$=INKEY$:IF X$="" THEN RETURN1020 IF X$="a" THEN AUS=AUS-1:RETURN1030 IF X$="A" THEN AUS=AUS+1:RETURN1040 IF X$="e" THEN EIN=EIN-1:RETURN1050 IF X$="E" THEN EIN=EIN+1:RETURN1060 IF X$<>"x" THEN RETURN1100 PRINT@170,"Weiter mit x "1110 MOTOR OFF:PRINT@40,"AUS"1120 X$=INKEY$:IF X$="x" THEN 1150 ELSE 11201150 PRINT@170,"Halt mit x ":GOTO 200

Das Programm steuerte eine vom CCC eingerichtete Btx-Spendenseite an, über die man dem Verein 9,97 DM zukommen lassen konnte, um die Schwachstelle zu demonstrieren. In der besagten Nacht machte es 13.504 Mal Klack-Klack, summa summarum 13.504 × 9,97 DM = 134.634,88 DM.

Weiterlesen
  55 Aufrufe

heise-Angebot: iX-Workshop: Sicherer Betrieb von Windows 11 in Unternehmen

Der zweitägige Online-Workshop Windows 11 im Unternehmen absichern zeigt, wie Sie die Betriebssysteme Windows 11 Pro und Enterprise sicher im Unternehmensnetz betreiben. Dabei werden sowohl klassische On-Premise-Installationen von Windows 11 als auch hybride Modelle in Kombination mit Entra ID und Microsoft Endpoint Manager (Intune) berücksichtigt.

Anzeige

Anhand praktischer Demonstrationen typischer Bedrohungsszenarien lernen Sie Schwachstellen und die typischen Werkzeuge von Angreifern kennen und stellen diesen konkrete Härtungs- und Schutzmaßnahmen gegenüber. Microsoft bietet hierfür sinnvolle Sicherheitsfunktionen an, die jedoch nicht automatisch aktiv sind, sondern erst konfiguriert werden müssen. In diesem Workshop lernen Sie, wie Sie die Sicherheitsmechanismen und -tools einsetzen, um Ihre Systeme abzusichern. Dieser Workshop bietet viel Raum für Fragen und Austausch.

Referent Christian Biehler ist Experte für Informationsmanagement und IT-Sicherheit. Seine Themenschwerpunkte sind die Sicherheit von Netzwerken und Anwendungen sowohl in klassischen On-Premise-Umgebungen als auch im hybriden Windows-Umfeld.

Weiterlesen
  0 Aufrufe

WTF: Sicherheitsforscher finden beim Nachstellen einer Lücke drei neue

"Manchmal hat man kein Glück und dann kommt auch noch Pech dazu", dieses geflügelte Wort aus der Fußballwelt dürfte den Entwicklern von Fortinet derzeit auf der Zunge liegen. In ihrem FortiManager, einer Verwaltungssoftware für FortiGate-Appliances, tauchten in den vergangenen Monaten immer wieder schwere Sicherheitslücken auf. Nun haben Sicherheitsforscher drei weitere entdeckt – ohne sie zu suchen.

Anzeige

Eine besonders heikle Sicherheitslücke namens "FortiJump" wurde vor wenigen Wochen veröffentlicht und schlug hohe Wellen, unter anderem in mehreren heise-Meldungen und einem empörten Jürgen Schmidt: "Zu den technischen Fehlern gesellt sich ein haarsträubendes Kommunikationsverhalten. Über Tage hinweg rätselten Sicherheitsforscher und auch Fortigate-Kunden, was es mit den Updates und den Gerüchten über aktive Angriffe auf FortiManager auf sich haben könnte", barmte der Gründer von heise security im Newsletter des Fachdienstes heise security PRO. Die Google-Tochter Mandiant konstatierte bereits am 24. Oktober eine massenhafte Ausnutzung, veranstaltete Webinare zum Thema und veröffentlichte "Indicators of Compromise" für die Suche nach Angreifern.

Die Sicherheitsexperten von Watchtowr Labs wollten den genannten Exploit (CVE-2024-47575) nun lediglich in einer kontrollierten Laborumgebung nachstellen. Doch ein ruhiger Experimentiernachmittag war ihnen nicht vergönnt, stattdessen sprang den überraschten Exploit-Testern eine weitere schwere Lücke ins Auge. Und – wer da hat, dem wird gegeben – zwei triviale Crashbugs gab's als Gratisbeigabe obendrein.

Der unterhaltsame und mit reichlich Meme-Material angereicherte Blogeintrag "Hop-Skip-FortiJump-FortiJump-Higher" des Watchtowr-Teams liest sich wie eine Abrechnung mit haarsträubend schlechten Sicherheitspraktiken bei einem Anbieter von Sicherheitsappliances: "Die niedrige Komplexität der Sicherheitslücken wirft die grundsätzliche Frage nach der FortiManager-Codequalität auf", konstatierten die Autoren und entschlossen sich zu dem ungewöhnlichen Schritt, die neu entdeckte Sicherheitslücke zu veröffentlichen, bevor sie von Fortinet gepatcht wurde.

Weiterlesen
  58 Aufrufe

Mögliches Destatis-Datenleck soll keine Wahlauswirkungen haben

Am Donnerstag wurde ein mögliches Datenleck beim Statistischen Bundesamt bekannt, Cyberkriminelle bieten rund 3,8 GByte an angeblich dort erbeuteten Daten im digitalen Untergrund an. Das IDEV-System wurde Offline genommen, nun gibt es weitere Maßnahmen: "Die Sicherheitsbehörden wurden eingeschaltet und das Bundesamt für Sicherheit in der Informationstechnik (BSI) analysiert den Sachverhalt", teilte das Statistische Bundesamt (Destatis) in Wiesbaden mit. Auf die Frage, ob Cyberkriminelle für das Datenleck verantwortlich sein könnten, hieß es, vorerst lägen "noch keine gesicherten Erkenntnisse vor". Die Sicherheitsbehörden arbeiteten in enger Abstimmung mit dem Bundesamt intensiv an der Aufklärung des Vorfalls, sagte der Sprecher.

Anzeige

Die Präsidentin des Statistischen Bundesamts, Ruth Brand, ist zugleich Bundeswahlleiterin. Die IT-Systeme des Statistischen Bundesamts und die IT-Systeme der Bundeswahlleiterin seien technisch getrennt und eigenständig, erklärte ein Sprecher des Bundesamts und der Bundeswahlleiterin auf Anfrage. Die Vorbereitungen zur Bundestagswahl 2025 verliefen planmäßig. Das Statistische Bundesamt benutze verschiedene Systeme zur Datenerhebung und -verarbeitung.

Das betroffene Meldesystem IDEV (Internet Datenerhebung im Statistischen Verbund) ist ein Internetportal, "über das Meldungen zu verschiedenen amtlichen Statistiken an die Statistischen Ämter des Bundes und der Länder übermittelt werden können. Die vorgeschriebenen Meldefristen sind bis zur Klärung des Sachverhalts ausgesetzt", hieß es weiter.

Vorerst gebe es keine Hinweise darauf, dass auch die IDEV-Systeme der Bundesländer betroffen sein könnten. "Rein vorsorglich haben jedoch die Länder bis zur Aufklärung des Sachverhalts ihre Systeme ebenfalls vom Netz genommen", ergänzte das Statistische Bundesamt in Wiesbaden. Seine eigenen statistischen Informationen für die Öffentlichkeit waren zunächst weiterhin auf seinen Internetseiten zu finden.

Weiterlesen
  64 Aufrufe

Sicherheitsfunktionen: Android soll Scam-Anrufe und Malware-Apps besser erkennen

Googles mobiles Betriebssystem Android bekommt neue Sicherheitsfunktionen und soll ab sofort in Echtzeit vor betrügerischen Anrufen und mit Schadcode verseuchten Apps warnen. Doch diese Funktionen sind bislang nur für ausgewählte Geräte und zum Teil nur für Beta-Nutzer nutzbar.

Anzeige

In einem Beitrag beschreibt Google die neuen Sicherheitsmechanismen. Anhand von Echtzeitanalysen auf KI-Basis soll die Telefon-App beim Telefonieren erkennen, ob ein Betrüger am anderen Ende der Leitung ein Opfer aufs Glatteis führen will. Besteht ein Betrugsverdacht, weist das Smartphone in Form einer Mitteilung darauf hin und man kann den Anruf über ein Dialogfeld beenden.

Derzeit kann die Telefonbetrugserkennung nur englischsprachige Anrufe analysieren.

(Bild: Google)

Weiterlesen
  54 Aufrufe

Wordpress-Plug-in Really Simple Security gefährdet 4 Millionen Websites

In dem Wordpress-Plug-in "Really Simple Security" klafft eine kritische Sicherheitslücke, die Angreifern die Übernahme einer Wordpress-Seite ermöglicht. Sie können unter Umständen die Authentifizierung umgehen. Das Plug-in kommt auf mehr als vier Millionen Wordpress-Webseiten zum Einsatz, erklärt das IT-Sicherheitsunternehmen Wordfence.

Anzeige

In einem Blog-Beitrag schreibt Wordfence, dass das Plug-in zuvor unter dem Namen Really Simple SSL bekannt war und nun in den Versionen Free, Pro und Pro Multisite bekannt ist. Alle Fassungen sind in den Version 9.0.0 bis 9.1.1.1 verwundbar.

In diesen betroffenen Fassungen können Angreifer aufgrund einer unzureichenden User-Check-Fehlerbehandlung in der Zwei-Faktor-REST-API der Funktion check_login_and_get_user auch ohne vorherige Authentifizierung als existierender Nutzer in der Website anmelden (CVE-2024-10924, CVSS 9.8, Risiko "kritisch"). Etwa mit dem Administrator-Konto. Dafür muss jedoch die Zwei-Faktor-Authentifizierung aktiviert sein – die ist zwar standardmäßig aus, jedoch empfehlen IT-Sicherheitsexperten stets, diesen Sicherheitsmechanismus zu aktivieren.

In dem Blog-Eintrag analysieren die Wordfence-Autoren die Schwachstelle für Interessierte ausführlicher.

Weiterlesen
  56 Aufrufe

CopyRhadamantys greift weltweit Unternehmen an

Die von Check Point Research entdeckte Kampagne nutzt KI-gesteuerte Marketing-Taktiken, um ihre Reichweite und ihren Aktionsradius zu vergrößern, und macht sich die Fähigkeit der Rhadamanthys-Malware zunutze, der Erkennung zu entgehen. Die Angreifer setzen geschickt KI ein, um ihre Operationen zu optimieren, so dass die Kampagne hoch skalierbar und weltweit wirksam ist.

Hightech-Unternehmen dominieren Imitationen

Nahezu 70 Prozent der imitierten Unternehmen gehören zu Hightech-Branchen wie Unterhaltung, Medien, Technologie und Software. Die digitale Präsenz dieser Branchen und die häufige Kommunikation über Urheberrechte machen sie zu idealen Zielen für Cyberkriminelle, die die vermeintliche Legitimität ihrer Phishing-Kampagnen erhöhen wollen. Durch die Automatisierung von Phishing-Techniken haben sie die Reichweite ihrer Kampagnen erheblich ausgeweitet und erreichen verschiedene Branchen in Nordamerika, Europa, dem Nahen Osten und Asien.

Die Kampagne CopyRh(ight)adamantys, die von der als „Void Manticore“ bekannten cyberkriminellen Gruppe organisiert wird, nutzt falsche Anschuldigungen von Urheberrechtsverletzungen, um Empfänger zu manipulieren. Die Angreifer, die sich als Vertreter bekannter Unternehmen ausgeben, kontaktieren Einzelpersonen und Unternehmen und behaupten fälschlicherweise, dass deren Social-Media-Inhalte gegen das Urheberrecht verstoßen. Sie stellen realistische Gmail-Konten und sorgfältig vorbereitete Nachrichten zur Verfügung, die den Kommunikationsstil legitimer Unternehmen widerspiegeln. Die Opfer werden dann aufgefordert, eine Datei herunterzuladen, um das Problem zu „beheben“, die in Wirklichkeit Rhadamanthys Stealer installiert und wertvolle Informationen wie Anmeldeinformationen und Finanzdaten abfängt.

Infektionskette von CopyRhadamanthys

Wichtigste Merkmale der Kampagne

Große globale Reichweite
Phishing-Versuche wurden in Nordamerika, Europa, dem Nahen Osten und Asien entdeckt.

Ausgefeilte Taktiken
Die Angreifer verwenden stark personalisierte E-Mails, oft in lokalen Sprachen, wodurch die Glaubwürdigkeit und Reichweite ihrer Botschaften erhöht wird.

Weiterlesen
  60 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image