Comretix Blog

E-Mails mit bösartigem Anhang sind nach wie vor weitverbreitet für Attacken auf PCs. Oft dienen Word-Dokumente als Träger für etwa Erpressungstrojaner. Nun haben Sicherheitsforscher eine neue Methode dokumentiert, mit der Angreifer Virenscanner austricksen.

Anzeige

Wie Forscher von ANY.RUN in einer Kurzanalyse auf X erläutern, sind sie auf von Angreifern absichtlich beschädigte Word-Dokumente gestoßen, die sie als Köder für Phishing-Attacken an E-Mails hängen. Wei die Dateien kaputt sind, fällt es bestimmter Antivirenschutzsoftware, sowie Outlooks Spamfilter schwer, den Dateityp zu erkennen. Demzufolge springen die Schutzmechanismen nicht an und so eine Mail landet ohne Warnung im Posteingang.

Die Forscher geben an, dass sie entsprechende Dateien zum Onlineanalysedienst Virustotal hochgeladen haben. Ihnen zufolge hat keiner der dort verfügbaren mehr als 60 Scanner Alarm geschlagen.

Im Zuge dieser Kampagne sollen die unbekannten Angreifer die Mails im Namen von Personalabteilungen mit einer Betreffszeile zu Bonuszahlungen verschicken. Fällt ein Opfer darauf rein und öffnet die präparierte Datei, bietet Word an, das Dokument zu reparieren. Weil die Angreifer nur den Header an einer bestimmten Stelle minimal verändert haben, kann Word das Dokument wiederherstellen und öffnen.

Hacken wie die Hacker: Im iX-Workshop Sich selbst hacken - Pentesting mit Open-Source-Werkzeugen lernen Sie, wie Angreifer vorgehen, um Fehlkonfigurationen und andere Schwachstellen in der Unternehmens-IT aufzuspüren und auszunutzen. Mit den gewonnenen Erkenntnissen fällt es Ihnen leichter, Ihre eigenen Systeme effektiv abzusichern.

Anzeige

Unter dem Stichwort OSINT (Open Source Intelligence) lernen Sie zunächst jene Techniken kennen, mit deren Hilfe sich öffentlich verfügbare Informationen über eine Organisation oder ein Unternehmen sammeln und auswerten lassen - und damit auch mögliche Hintertüren ins System, wie etwa kompromittierte Passwörter. Mit verschiedenen frei verfügbaren Open Source-Werkzeugen und Audit-Tools können im nächsten Schritt Untersuchungen auf Netzwerkebene durchgeführt, Web-Applikationen überprüft oder auch Möglichkeiten der Privilegien-Eskalation unter Windows und Linux aufgedeckt werden.

Ein Schwerpunkt des Workshops liegt auf der Überprüfung von Microsofts zentralem Verzeichnisdienst Active Directory, da dieser ein beliebtes Angriffsziel für Hacker ist. Erfahren Sie, wie Sie Schwachstellen in diesem zentralen Element der Unternehmens-IT aufdecken und gezielt beheben können. Ebenso kommen Maßnahmen wie die Implementierung einer Mehr-Faktor-Authentifizierung und die differenzierte Vergabe von Berechtigungen zur Sprache, um Ihre IT-Systeme effektiv abzusichern.

Als Referent steht Ihnen Philipp Löw, erfahrener Pentester bei der Oneconsult Deutschland AG, zur Verfügung. Profitieren Sie in diesem spannenden Workshop, von seinem Fachwissen und seinen praktischen Erfahrungen.

In dieser Woche wurden Fälle aus den USA bekannt, in denen Photovoltaik-Wechselrichter von Sol-Ark den Betrieb eingestellt und eine Fehlermeldung angezeigt haben. Betroffene sollen sich demnach an ihren Händler wenden. In den Sol-Ark-Geräten steckt Hard- und Software von Deye. Das Unternehmen hat gegenüber heise online Stellung zu den Vorfällen bezogen.

Anzeige

Deye erörtert, dass nach eigenen Untersuchungen lediglich "einige wenige Inverter eine Pop-up-Meldung angezeigt haben". Diese stehen alle in den USA, andere Regionen seien nicht betroffen. "Deye hat die Geräte nicht ferngesteuert oder in irgendeiner Form beeinträchtigt. Derzeit gibt es keine Hinweise darauf, dass diese Wechselrichter böswillig über die Cloud-Dienste von Deye ferngesteuert wurden", erklärt das Unternehmen weiter.

"Die Verträge, die Deye mit allen Händlern abschließt, erörtern klar und deutlich, dass Produkte, die nicht UL-zertifiziert und nicht von lokalen Stromversorgern gelistet sind, nicht in den Vereinigten Staaten verkauft werden dürfen, da sie nicht den US-UL-Standards genügen", erklärt der Hersteller. Die UL-Zertifizierung lässt sich mit der europäischen CE-Kennzeichnung vergleichen, die eine Konformitätskennzeichnung für Geräte ist, den Harmonisierungsvorschriften der EU zu genügen.

Sofern Geräte entgegen der Richtlinie eingesetzt werden, könnten sie ein signifikantes Sicherheitsrisiko darstellen, schreibt Deye. Um das zu verhindern, habe Deye einen Verifikationsmechanismus in die Geräte integriert. Die Pop-up-Warnung werde automatisch von dem Autorisierungsmechanismus des Geräts ausgelöst, ohne menschliche Interaktion.

Eine Sicherheitslücke im populären FTP-Server ProFTPD können Angreifer missbrauchen, um ihre Rechte in verwundbaren Systemen auszuweiten. Die Entwickler haben einen Quellcode-Patch bereitgestellt, der den Fehler korrigiert.

Anzeige

Die Schwachstellenbeschreibung im CVE-Eintrag CVE-2024-48651 lautet, dass mod_sql keine sogenannten Supplemental Groups bereitstellt. Dadurch erben Nutzer die Supplemental Group mit der GID 0. Das haben Nutzer im Debian Bugtracker gemeldet und im Github-Repository von ProFTPD diskutiert – durch die Schwachstelle war demnach root-Zugriff möglich, wenn ProFTPD zusammen mit mod_sql genutzt wird. Betroffen ist ProFTPD 1.3.8b vor Commit cec01cc. In ProFTPD 1.3.5 hingegen erben Nutzer in der gleichen Situation Supplemental Group nogroup, was lediglich minimale Risiken für die Sicherheit impliziere. Das CERT-Bund des BSI stuft die Sicherheitslücke mit einem CVSS-Wert von 8.8 als hohes Risiko ein.

Wer den ProFTPD-Dienst einsetzt, sollte daher unbedingt nach aktualisierten Paketen Ausschau halten. Die ProFTPD-Webseite – sie unterstützt tatsächlich lediglich http – verweist noch auf die Version 1.3.9rc2 aus dem Dezember 2023. Im Github-Repository haben die Quelltexte jedoch vor zwei Wochen einen Flicken erhalten, der die Schwachstelle ausbessert.

Die meisten Webbrowser unterstützen FTP inzwischen nicht mehr, weshalb die Sichtbarkeit davon deutlich geringer wird. Eine Suche in der Shodan-Datenbank bringt jedoch eine noch sehr weite Verbreitung zum Vorschein.

Der zweitägige Online-Workshop Windows 11 im Unternehmen absichern zeigt, wie Sie die Betriebssysteme Windows 11 Pro und Enterprise sicher im Unternehmensnetz betreiben. Dabei werden sowohl klassische On-Premise-Installationen von Windows 11 als auch hybride Modelle in Kombination mit Entra ID und Microsoft Endpoint Manager (Intune) berücksichtigt.

Anzeige

Anhand praktischer Demonstrationen typischer Bedrohungsszenarien lernen Sie Schwachstellen und die typischen Werkzeuge von Angreifern kennen und stellen diesen konkrete Härtungs- und Schutzmaßnahmen gegenüber. Microsoft bietet hierfür sinnvolle Sicherheitsfunktionen an, die jedoch nicht automatisch aktiv sind, sondern erst konfiguriert werden müssen. In diesem Workshop lernen Sie, wie Sie die Sicherheitsmechanismen und -tools einsetzen, um Ihre Systeme abzusichern. Dieser Workshop bietet viel Raum für Fragen und Austausch.

Referent Christian Biehler ist Experte für Informationsmanagement und IT-Sicherheit. Seine Themenschwerpunkte sind die Sicherheit von Netzwerken und Anwendungen sowohl in klassischen On-Premise-Umgebungen als auch im hybriden Windows-Umfeld.

Das Tails-Projekt hat die Version 6.10 der anonymisierenden Linux-Distribution veröffentlicht. Die Programmierer korrigieren darin kleinere Fehler und aktualisieren anonymiserende Komponenten.

Anzeige

Laut der Versionsankündigung der Tails-Entwickler haben sie etwa die Unterstützung für die Krypto-Hardware-Wallet Trezor in Electrum korrigiert. Es fehlten aktualisierte Bibliotheken, die auch im zugrundeliegenden Debian veraltet waren. Das Aktualisieren auf eine neuere Bibliothek-Version hat das Problem gelöst. Zudem konnte der Gnome-basierte Tails-Desktop auf Systemen mit weniger Speicher unter Umständen nicht korrekt starten.

Die Entwickler haben weiterhin Thunderbird das Speichern von Telemetriedaten ausgetrieben. Zugleich haben sie das Mailprogramm auf den neueren Stand 128.4.3 gehoben, von den Vorversionen aus dem 115er-Entwicklungszweig – der junge Software-Strang erhält länger Unterstützung von Mozilla. Der Firefox-basierte Tor-Browser wurde auf die Version 14.0.3 aktualisiert.

Die aktualisierte Version ist wie üblich als Abbild für USB-Sticks zum Mitnehmen erhältlich sowie als ISO-Image zum Brennen auf DVDs oder zur Nutzung in virtuellen Maschinen. Bereits die Version Tails 6.9 vom Anfang November betrieb lediglich leichte Versionspflege an den Kernkomponenten.

Sicherheitsforscher warnen vor erneuten Attacken auf die Filesharingplattform ProjectSend. Über eine kritische Schwachstelle nisten sich Angreifer mit einer Hintertür ein. Ein Sicherheitsupdate ist bereits seit Mai 2023 verfügbar.

Anzeige

Vor den Attacken warnen Sicherheitsforscher von VulnCheck in einem Beitrag. Sie geben an, dass die "kritische" Lücke, die erst jetzt eine CVE-Nummer erhalten hat (CVE2024-11680), bereits seit Januar 2023 bekannt ist. Im Mai 2023 haben die Entwickler ein Sicherheitsupdate veröffentlicht.

Den Forschern zufolge ist dieser Patch aber nur auf einem Prozent der über das Internet öffentlich erreichbaren ProjectSend-Server installiert. Dementsprechend hat es bereits in der Vergangenheit Attacken gegeben. Admins sollten nun ohne zu zögern handeln und ihre Instanzen gegen die Attacken absichern. ProjectSend r1720 ist dagegen gerüstet.

Aufgrund von unzureichenden Authentifizierungsprüfungen können Angreifer unter anderem Einträge für erlaubte Erweiterungen in einer Whitelist anlegen, um so eigenen Code hochzuladen und auszuführen.

Obwohl seit dem 18. November ein größeres PostgreSQL-Sicherheitsproblem bekannt ist, spielt GitLab die entsprechenden Patches nicht ein. Eine der Lücken erlaubt es unprivilegierten Angreifern, willkürlich Code in der Datenbank auszuführen.

Anzeige

Postgres stuft dieses Sicherheitsloch CVE-2024-10979 mit 8,8 von 10 auf der CVSS-3.0-Skala ein. User ohne Administratorrechte können Systemvariablen ändern, beispielsweise PATH, und darüber beliebigen Code ausführen.

Postgres hat die Lücken bereits mit einem Update gefixt und empfiehlt, die Versionen 12.21, 13.17, 14.14, 15.9, 16.5 und 17.1 sofort einzuspielen. Wie bereits im März wiesen Leser uns darauf hin, dass GitLab nach wie vor an den alten, gefährdeten Versionen 14.11 und 16.4 festhält und die Updates verzögert.

Die Redaktion hat GitLab um eine Stellungnahme gebeten. Sie hat noch nicht unmittelbar darauf antworten können.

Vor zwei Wochen, wenige Tage nach dem offiziellen November-Patchday, hat Microsoft Fehler in den Sicherheitsupdates (SUs) für Exchange-Server erkannt und die Verteilung gestoppt. Nun haben die Entwickler die Fehler korrigiert. Microsoft hat die Verteilung der neuen Softwareaktualisierung aufgenommen.

Anzeige

"Die ursprüngliche Version dieser SUs (veröffentlicht am 12. November 2024) führte zu einem Problem mit Exchange Server-Transportregeln, die in einigen Umgebungen nach einer bestimmten Zeit angehalten wurden", erklären die Entwickler in einem Techcommunity-Beitrag des Exchange-Teams von Microsoft. Sie ergänzen: "Die neu freigegebenen SUs beheben dieses Problem".

Eine Entscheidungsmatrix soll IT-Verantwortlichen dabei helfen, den empfohlenen Umgang mit der Version 2 des November-Sicherheitsupdates umzusetzen. Im Wesentlichen laufen alle Einträge darauf hinaus, die Version 2 zu installieren; nur für den Fall, dass die erste Update-Fassung installiert war und die Organisation keine Transport- oder DLP-Regeln nutze, sei Abwarten eine Option, da die betroffenen Server das Update im Dezember selbst herunterladen und installieren. In allen anderen Fällen ist Admins empfohlen, die neue Fassung des Sicherheitsupdates zu installieren.

In dem ursprünglichen Ankündigungs-Post haben die Entwickler die Links auf die Updates aktualisiert. Microsoft schreibt weiter, dass die neue Fassung zwei Änderungen umfasse. Einerseits korrigiert sie die Transport-Regel-Probleme. Andererseits liefert sie eine feiner granulierte Kontrolle der "Nicht-RFC-konformen P2-FROM-Header-Erkennung".

Derzeit tauchen bundesweit vermehrt manipulierte QR-Codes an Parkscheinautomaten auf. Dabei handelt es sich nach Angaben der Polizei um eine Betrugsmasche, bei der Kriminelle versuchen, über QR-Codes an sensible Daten zu gelangen – sogenanntes Quishing.

Anzeige

In Freiburg waren Ende November an mehreren Parkautomaten gefälschte QR-Codes entdeckt worden, wie die örtliche Polizei mitteilte. Die Fälschungen führten zu einer "täuschend echten" Internetseite des Unternehmens, auf der Betroffene dazu aufgefordert wurden, ihre Kreditkartendaten anzugeben. Im September war eine Frau auf einem Parkplatz in Baden-Baden durch die Masche um 2.000 Euro betrogen worden. Betrüger hatten dort QR-Codes der Firma EasyPark überklebt.

"Bisher sind uns Betrugsversuche in Landau, Baden-Baden, Hannover, Berlin und Frankfurt bekannt", sagte Nico Schlegel, Geschäftsführer von EasyPark Deutschland, auf dpa-Nachfrage. Das Unternehmen rät Nutzerinnen und Nutzern, die App herunterzuladen. Wird ein echter QR-Code gescannt, löse das entweder den Start der App aus oder man lande direkt im App-Store – aber niemals auf einer Internetseite.

Nach Angaben der Cybersicherheitsagentur Baden-Württemberg gibt es auch Fälle mit manipulierten QR-Codes in Zusammenhang mit E-Auto-Ladesäulen sowie gefälschten Schreiben von Banken oder dem Finanzamt. Zuvor hatten mehrere Medien über die aktuellen Betrugsfälle berichtet.

Jetzt rächt es sich, dass die einstige Ampel-Regierung bei zwei entscheidenden Gesetzesvorhaben zum besseren Schutz kritischer Infrastrukturen (Kritis) lange nicht auf einen grünen Zweig gekommen ist. Die EU-Kommission hat am Donnerstag Deutschland und 22 weitere EU-Mitgliedsstaaten aufgefordert, ihr Informationen zum Stand der Umsetzung der NIS2 getauften neuen EU-Richtlinie zur Netz- und Informationssicherheit mitzuteilen. Das ist die erste Stufe eines Vertragsverletzungsverfahrens, das teuer enden kann. Mit NIS2 soll ein hohes Cybersicherheitsniveau in der gesamten EU in Sektoren wie Energie- und Wasserversorgung, Informations- und Kommunikationstechnologien (IKT), Verkehr, Finanzwesen und Medien gewährleistet werden. Die EU-Länder hätten die Richtlinie bis zum 17. Oktober in nationales Recht umsetzen müssen.

Anzeige

Gegen 24 Mitgliedstaaten inklusive Deutschland hat die Brüsseler Regierungsinstitution zugleich weitere Verletzungsverfahren gestartet, weil sie ihr keine nationalen Maßnahmen zur Umsetzung der Richtlinie über die Resilienz kritischer Einrichtungen mitgeteilt haben. Dabei handelt es sich quasi um die Analog-Variante der NIS2. Mit dieser zweiten Richtlinie sollen Betreiber von Anlagen und Systemen in deutlich erweiterten Kritis-Sektoren stärker in die Pflicht genommen werden. Sie müssen etwa Risikobewertungen durchführen, um die Widerstandsfähigkeit gegenüber Störungen und Gefahren zu erhöhen, sowie Mindeststandards einhalten. Die Umsetzungsfrist endete hier ebenfalls Mitte Oktober. Die betroffenen Staaten haben nun zwei Monate Zeit, um einschlägige Gesetzesvorhaben abzuschließen und die Kommission darüber zu informieren. Andernfalls droht die zweite Stufe des Verletzungsverfahrens.

Hierzulande hat die Bundesregierung mittlerweile zwar einschlägige Vorhaben auf den Weg gebracht. Sie müssen beide aber noch durch den Bundestag und den Bundesrat. Zum NIS2-Umsetzungsgesetz fand im Oktober die 1. Lesung statt. Die zweite Richtlinie will die Exekutive mit dem Kritis-Dachgesetz in nationales Recht gießen. Sie einigte sich erst Anfang November auf den entsprechenden Regierungsentwurf. Nach dem Ampel-Aus ist die Zukunft der Vorhaben ungewiss. Thorsten Frei, Vizechef der CDU/CSU-Bundestagsfraktion, monierte jüngst beim Kritis-Dachgesetz, der Entwurf enthalte "noch deutlich zu viele Fehler und Ungereimtheiten". Man könne ihn nicht unterstützen. Grünen-Fraktionsvize Konstantin von Notz konterte in der "Welt": "Dass die Union trotz krassester Bedrohungslagen und zahlreicher Anschläge auf unsere kritischen Infrastrukturen in den vergangenen Monaten aus parteitaktischen Überlegungen eine Fundamentalopposition einnimmt, ist schlicht unverantwortlich."

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die Rabattaktionen rund um den Black Friday locken viele Kunden: Die für Cyber-Sicherheit zuständige Bundesbehörde warnt vor Fake-Onlineshops und Betrügern, die diesen Anlass nutzen könnten, um mit unseriösen Angeboten zu locken. "Grundsätzlich sollten sich Verbraucherinnen und Verbraucher nicht von niedrigen Preisen und schnellen Rabattaktionen täuschen lassen", sagte die Verbraucherschutz-Expertin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Larissa Hänzgen. Wer auf verdächtige Signale achte und persönliche Daten nicht leichtfertig preisgebe, könne die Risiken deutlich reduzieren.

Anzeige

Ein Hinweis für einen Fake-Shop kann laut BSI ein unvollständiges Impressum sein, in dem etwa die vertretungsberechtigte Person oder die Postadresse fehlt. Kunden, die bestellte Waren nicht erhalten oder bemerken, dass eine fremde Person Zugriff auf ihr Benutzerkonto zu haben scheint, sollten sofort reagieren. Die Behörde stellt auf ihrer Internetseite unter dem Stichwort "Onlineshopping SOS-Karte" Informationen zu den wichtigsten Schutzmaßnahmen bereit.

Das BSI warnt auch vor Phishing-Mails zum Black Friday, die Nachrichten von bekannten Händlern oder Zahlungsdienstleistern täuschend ähnlich sehen. Damit sollen Nutzer dazu gebracht werden, Links zu öffnen und sensible Daten wie Passwörter oder Kontodaten einzugeben. "Passt die E-Mail-Adresse nicht zur offiziellen Domain des vermeintlichen Absenders, ist dies ein erstes Anzeichen für eine Phishing-Mail. Es wird jedoch immer schwieriger, solche Mails zu enttarnen", sagte Hänzgen.

Die Rabattaktion Black Friday fällt in diesem Jahr auf den 29. November. Viele Händler bieten aber auch bereits Tage und Wochen vorher zahlreiche Produkte zu reduzierten Preisen an. Seinen Ursprung hat der Black Friday, für dessen Bezeichnung es mehrere mögliche Erklärungen gibt, in den USA. Dort markiert der Brückentag nach Thanksgiving, dem vierten Donnerstag im November, den Beginn des Weihnachtsgeschäftes.

Im Open-Source Developer-Tool Jenkins wurden mehrere Sicherheitslücken entdeckt. Die Entwickler schließen die Schwachstellen mit aktualisierter Software. IT-Verantwortliche sollten die Updates zügig anwenden.

Anzeige

In der Sicherheitsmitteilung listen die Jenkins-Entwickler drei verwundbare Add-ons auf. Am schwersten wiegt die Schwachstelle im Simple Queue Plug-in. Es versieht Namen von Views nicht mit Escape. Das mündet in einer Stored-Cross-Site-Scripting-Lücke, die Angreifer mit "View/Create"-Rechten missbrauchen können (CVE-2024-54003, CVSS 8.0, Risiko "hoch"). Den Fehler korrigieren die Plug-in-Version 1.4.5 sowie neuere.

Die mitgelieferte json-lib-Bibliothek weist eine Denial-of-Service-Lücke auf. Die in Jenkins LTS 2.479.1 sowie 2.486 und älteren gebündelten Versionen von org.kohsuke.stapler:json-lib sind von dem Leck betroffen, erörtern die Entwickler. Angreifer mit der Berechtigung "Overall/Read" können dadurch die Threads zum Behandeln von HTTP-Anfragen dauerhaft beschäftigen, was Systemressourcen verbraucht und andere davon abhält, Jenkins zu nutzen. Einige Plug-ins ermöglichen solche Angriffe sogar ohne "Overall/Read"-Berechtigung (CVE-2024-47855, CVSS 7.5, hoch). Jenkins LTS 2.479.2 und 2.487 und neuere haben eine korrigierte Version von org.kohsuke.stapler:json-lib dabei.

Schließlich klafft im Filesystem List Parameter Plugin eine Path-Traversal-Schwachstelle. Angreifer mit "Item/Configure"-Rechten können dadurch Dateien vom Dateisystem des Jenkins-Controllers auflisten (CVE-2024-54004, CVSS 4.3, mittel). Die Plug-in-Version 0.0.15 korrigiert den Fehler.

Bei einem Cyberangriff ist es Kriminellen aus Südostasien gelungen, der Zentralbank von Uganda umgerechnet rund 16 Millionen Euro zu stehlen. Das berichtet die ugandische Tageszeitung Daily Monitor, laut anderen Medienberichten ist es der "Benki Kuu ya Uganda" aber bereits gelungen, mehr als die Hälfte der Beute zurückzubekommen. Die Bande, die sich selbst "Waste" (englisch für Abfall) nennt, ist laut dem Daily Monitor in die IT-Infrastruktur der Bank eingedrungen und habe von einem Konto 62,4 Milliarden Uganda-Schilling transferiert. Ob das Geld das eigentliche Ziel gewesen sei oder die unbekannten Kriminellen einfach gestohlen haben, was sie vorgefunden haben, sei nicht bekannt.

Anzeige

Laut dem Bericht ereignete sich der Diebstahl bereits vor zwei Wochen, in der Folge habe sich sogar Staatspräsident Yoweri Museveni mit dem Fall befasst. Zuerst sei die Polizei mit den Ermittlungen beauftragt worden, später hätten aber die Geheimdienste des zentralafrikanischen Landes übernommen. Bei der Zentralbank selbst habe man versucht, die Angelegenheit möglichst unter Verschluss zu halten. Besorgt war man demnach, dass der Diebstahl den Fokus der Aufmerksamkeit darauf ziehen könnte, dass die Zentralbank seit fast drei Jahren keinen allein dafür verantwortlichen Chef hat. Außerdem hätten anonyme Quellen von Hinweisen dafür gesprochen, dass die Cyberkriminellen Hilfe von Insidern gehabt hätten.

Weitere Details etwa zum Vorgehen der Diebe gibt es bislang nicht, laut Daily Monitor wurde eine externe Firma mit einer Überprüfung beauftragt. Die Nachrichtenagentur Reuters erklärt noch, dass Banken und andere Finanzinstitutionen in Uganda immer wieder Opfer vergleichbarer Cyberangriffe werden. Von der Polizei heißt es aber, dass einige der Opfer zögern würden, das öffentlich einzugestehen. Die Befürchtung ist demnach, dass damit Kunden verprellt würden. Zentralbanken von Staaten sind aber selten Opfer. Vor achteinhalb Jahren wurden der Zentralbank von Bangladesch einige Dutzend Millionen US-Dollar gestohlen, nur wegen eines Zufalls war es den Dieben damals nicht gelungen, fast eine Milliarde zu stehlen.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Künstliche Intelligenz, Cybersecurity und digitale Innovationen – diese und weitere Trends erfordern von Unternehmen sehr viel Fingerspitzengefühl. Auf dem ersten IT Summit by heise in München konnten IT-Verantwortliche, Admins und KI-Profis köstlich darüber streiten.

Anzeige

Neben Fachvorträgen und Ausstellerangeboten bot der Summit viel Raum für intensives Networking. Auf einem Side Event fand beispielsweise der Thementag "Women in Tech" mit hochkarätigen Sprecherinnen aus der IT-Branche statt.

Ihr gemeinsames Ziel: Mehr Mädchen für MINT-Berufe zu begeistern und Frauen in der IT-Branche sichtbarer zu machen, wie Prof. Dr. Claudia Eckert vom Fraunhofer-Institut für angewandte und integrierte Sicherheit erläuterte.

In Manageengine Analytics Plus von Zohocorp können Angreifer aufgrund einer Schwachstelle ihre Rechte ausweiten. Dies gelingt durch unbefugt möglichen Zugriff auf sensible Daten.

Anzeige

In der Sicherheitsmitteilung von Zoho erörtern die Autoren, dass eine Schwachstelle in Analytics Plus sensible Daten offenlegt. Angemeldete Nutzerinnen und Nutzer können dadurch an sensible Token gelangen, die mit dem "org-admin"-Konto verknüpft sind. Das ermöglicht ihnen eine unbeabsichtigte Ausweitung ihrer Rechte (CVE-2024-52323, CVSS 8.1, Risiko "hoch").

"Diese Schwachstelle ermöglicht Angreifern, Admin-Aktionen auszuführen. Sie können etwa Nutzerinnen und Nutzer hinzufügen oder entfernen und Konfigurationen verändern", erklären die Autoren der Sicherheitsmitteilung.

Das Problem lösen die Softwareentwickler dadurch, dass sie ungenutzten und verwundbaren Code aus der Anwendung entfernen. Das eliminiere die Schwachstelle, führen die Entwickler weiter aus.

Wie kann ein Dienstleister, der Cyberattacken vorbeugt, seinen Service bewerben? Etwa indem er seine Dienste mit Werbeanzeigen, die seine Reputation präsentieren, anpreist. Doch es geht auch ganz anders, wie jüngst ein Anbieter solcher Dienste in Kansas, USA gezeigt hat. Dafür hat er jetzt eine Anzeige kassiert.

Anzeige

Einem Beitrag des United States Attorney's Office zufolge, hat er in drei dokumentierten Fällen unter anderem einen Betreiber von Fitnesscentern gehackt, um im Anschluss seinen Service zu bewerben und Hilfe anzubieten, künftige Attacken vorzubeugen. Er gibt an, Zugriff auf Sicherheitskameras zu haben und Nutzeraccounts einsehen zu können. Als Beweis für den Zugriff habe er zudem seinen Mitgliedsbeitrag auf 1 US-Dollar pro Monat gesenkt.

In einem weiteren Fall habe er vor Ort eine Non-Profit-Organisation attackiert. Dabei umging er mittels einer Bootdisk die Authentifizierung und verschaffte sich Zugriff auf sensible Daten. Anschließend hat er sich einen Fernzugriff via VPN eingerichtet und die Passwörter der Angestellten geändert, um sie auszusperren. Die Attacke habe die Organisation 5000 US-Dollar gekostet. Das geht aus einem ausführlichen Bericht zu den Vorfällen hervor.

Ob der Dienstleister in einem der Fälle engagiert wurde, bleibt unklar – das ist aber äußerst unwahrscheinlich. Welche Strafe den Täter erwartet, ist bislang noch nicht bekannt.

Netzwerkspeicher von Synology sind verwundbar. Angreifer können an Sicherheitslücken in DSM und der NAS-App Surveillance Station ansetzen, um Schaden anzurichten. Auch die Backuplösung BeeDrive for Desktop wurde gegen mögliche Attacken abgesichert. Noch sind aber nicht alle Sicherheitspatches erschienen.

Anzeige

CVE-Nummern und eine Einstufung des Bedrohungsgrads der Lücken stehen derzeit noch aus. Die DSM-Lücke stuft das Notfallteam des BSI CERT Bund als "kritisch" ein. Sind Attacken erfolgreich, können Angreifer DoS-Zustände erzeugen, auf sensible Daten zugreifen oder sich höhere Nutzerrechte aneignen. Wie das ablaufen könnte, ist bislang unklar.

Es gibt auch noch keine Hinweise auf bereits laufende Angriffe. Um NAS-Systeme abzusichern, stehen die Sicherheitsupdates DSM 7.2.1-69057-2, 7.2.2-72806 und DSMUC 3.1.4-23079 bereit. Der Patch für DSM 7.1 steht noch aus.

Surveillance Station ist in den Ausgaben 9.2.2-11575 und 9.2.2-9575 abgesichert. Die Schwachstelle in BeeDrive for Desktop kann Schadcode auf PCs durchlassen. Die Version 1.3.2-13814 ist dagegen gerüstet.

Microsoft startet einen neuen Anlauf, um die Sicherheit von Windows zu verbessern. "Administrator Protection" heißt dieser Mechanismus, der das Arbeiten mit den niedrigstmöglichen Rechten erlauben und so den Rechner vor ungewollten Folgen aufgrund von schädlichen Admin-Aktionen schützen soll. Wem das bekannt vorkommt: Das sollte ursprünglich bereits die Benutzerkontensteuerung (UAC) aus Windows Vista leisten, die jedoch später von Microsoft offiziell nicht mehr als Sicherheitsfunktion eingestuft und so aufgeweicht wurde, dass Admin-Rechte sogar automatisch vergeben wurden – gelegentlich auch an Malware.

Anzeige

Vor einer administrativen Aufgabe wie der Software-Installation steht mit "Administrator Protection" ein Windows-Hello-Prompt.

(Bild: Microsoft)

Die neue Funktion ist zwar ähnlich, unterscheidet sich jedoch deutlich an entscheidenden Stellen. Bei der Benutzerkontensteuerung fragt Windows vor manchen Admin-Aktionen nach einer Bestätigung, die auf einen isolierten Desktop mit einem Dialog und einem Freigabe- und Abbrechen-Knopf führt – erbittet also eine "geschützte" Autorisierung der Aktion. Die "Administrator Protection" fährt schwerere Geschütze auf: Eine Authentifizierung mittels Windows Hello soll sicherstellen, dass nur Befugte aktiv die Admin-Aufgabe freigeben. Somit handelt es sich um eine Authentifizierung mit anschließender Autorisierung des Vorgangs.