Comretix Blog

Angreifer können Veeam Backup Enterprise Manager (VBEM) ins Visier nehmen und sich in Verbindungen einklinken. Ein Sicherheitspatch steht zum Download bereit.

Anzeige

Mit VBEM managen Admins die Backuplösung Backup & Replication (VBR) über eine Webkonsole. Die Managementlösung ist optional. Mit den folgenden Befehlen können Admins prüfen, ob VBEM auf ihren Systemen installiert ist:

Get-VBRServer | Out-Null
[Veeam.Backup.Core.SBackupOptions]::GetEnterpriseServerInfo() | Format-List

Setzen Angreifer erfolgreich an der Schwachstelle (CVE-2024-40715 "hoch") an, können sie die Authentifizierung umgehen und Verbindungen als Man-in-the-Middle belauschen. Wie das im Detail ablaufen könnte, ist bislang nicht bekannt. In einer Warnmeldung verlinken die Entwickler die dagegen abgesicherte Version VBEM 12.2.0.334.

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel Active Directory: Effiziente Absicherung lernen Sie die wichtigsten Angriffstechniken wie Pass the Hash und Delegierungsschwachstellen kennen. Sie erfahren, wie Sie mit Werkzeugen wie PowerView und Bloodhound sowie Audit-Tools wie PingCastle Fehlkonfigurationen und Schwachstellen in Ihrem lokalen AD identifizieren und anschließend beheben, um das Herzstück Ihrer IT effektiv gegen Angriffe zu schützen.

Anzeige

Referent des zweitägigen Workshops ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München.

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Angriffe auf und Absicherung von Entra ID.

Drei "kritische" Sicherheitslücken gefährden Netzwerke, in denen Admins Dell Enterprise SONiC nutzen. Angreifer können die Anmeldung umgehen und eigene Befehle ausführen. Aufgrund der Einstufung der Lücken ist nach einer erfolgreichen Attacke von einer vollständigen Kompromittierung von Systemen auszugehen.

Anzeige

Mit Dells Betriebssystems Software for Open Networking in the Cloud (SONiC) verwalten und managen Netzwerk-Admins unter anderem Switches. Die Software dient zur Konfiguration und Überwachung. Nun führt der Netzwerkausrüster in einem Beitrag drei Schwachstellen (CVE-2024-45763 "kritisch", CVE-2024-45764 "kritisch", CVE-2024-45765 "kritisch") auf und hat Sicherheitsupdates veröffentlicht. Dell warnt zurzeit nicht vor laufenden Attacken, rät Admins aber zu einem zügigen Update, um Netzwerke zu schützen.

Setzen Angreifer erfolgreich an den Lücken an, können sie die Authentifizierung umgehen. Dafür müssen sie aber aus der Ferne auf verwundbare Instanzen zugreifen können. Weil bestimmte Eingaben nicht ausreichend bereinigt werden, können Angreifer mit hohen Nutzerrechten und Zugriff auf Enterprise SONiC eigene Befehle ausführen. Wie solche Attacken im Detail ablaufen könnten, ist derzeit nicht bekannt. Unklar bleibt bislang auch, wie Admins bereits erfolgte Angriffe erkennen können.

Um Systeme gegen mögliche Attacken zu rüsten, müssen Admins Dell Enterprise SONiC Distribution 4.1.6 oder 4.2.2 installieren. Alle vorigen Ausgaben sollen bedroht sein. Eine Übergangslösung, um Systeme temporär zu schützen, gibt es derzeit nicht, sodass Admins die Patches zügig installieren müssen. Zwei der Lücken haben Sicherheitsforscher von QI-ANXIN entdeckt und an Dell gemeldet.

ScubaGear ist ein Tool zum Überprüfen der Sicherheitseinstellungen in M365. Entwickelt hat es die US-Sicherheitsbehörde CISA, damit US-Behörden die Sicherheit ihrer Microsoft-Cloud-Nutzung selbst checken und verbessern können. ScubaGear deckt verbreitete Konfigurationsfehler, Policy-Verstöße und andere Sicherheitsprobleme systematisch auf und gibt praktische Hinweise, wie man diese Probleme beseitigt. Unser erstes Scuba-Webinar war ausverkauft, deshalb bieten wir es am 4. Dezember erneut an.

Anzeige

Dieses heise-security-Webinar erklärt das Konzept und die Funktionsweise des Tools. Es zeigt ganz konkret, wie man es selbst nutzen kann, um die Sicherheit seines M365-Tenants zu verbessern. Dazu gehört auch, wie Sie das US-amerikanische Tool in einem deutschen beziehungsweise europäischen Kontext sinnvoll einsetzen.

Im Webinar geht es vor allem darum, reale Angriffe zu verhindern. Der Referent Tim Mittermeier erläutert dazu typische Angriffstechniken der Angreifer, um sich Zugriff auf Cloud-Infrastrukturen zu verschaffen und Privilegien zu erhöhen. Darauf aufbauend erklärt er mit praktischen Beispielen, wie man solche Schwachstellen in Microsoft Entra ID und M365 mit ScubaGear – und anderen vergleichbaren Werkzeugen – gezielt aufspüren kann. Abschließend gibt er Tipps zur Härtung der Entra-Mandanten und M365-SaaS-Applikationen. Administratoren und Sicherheitsverantwortliche erhalten damit direkt umsetzbare Hilfestellung bei der sicheren Konfiguration ihres M365-Tenants.

Das Webinar am 4. Dezember dauert etwa 90 Minuten und sieht dabei reichlich Zeit für Ihre Fragen und natürlich die Antworten darauf vor. Es richtet sich an alle, die Microsoft 365 in Unternehmen oder Behörden einsetzen und dabei auch für dessen Sicherheit und Compliance verantwortlich sind. Die Teilnahme kostet 145 Euro; Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen und dieses und viele weitere heise-security-Webinare auch später in der exklusiven PRO-Mediathek abrufen.

Palo Alto untersucht eine angebliche Codeschmuggel-Sicherheitslücke in der Verwaltungsoberfläche des Firewall-Betriebssystems PAN-OS. Der Hersteller empfiehlt Administratoren, Sicherheitsmaßnahmen zu ergreifen, um Angriffe von außen zu erschweren.

Anzeige

In einer Sicherheitsmitteilung schreiben die Palo-Alto-Entwickler, dass das Unternehmen von einer angeblichen Sicherheitslücke im PAN-OS-Managementinterface wisse, die das Einschleusen und Ausführen von Schadcode erlauben solle. Details zu der Lücke kennen die Mitarbeiter nicht, beobachten die Lage jedoch nach Anzeichen von Missbrauch. Sie glauben, dass Prisma Access und Cloud NGFW nicht betroffen seien, nennen dafür jedoch keine Gründe.

Palo Alto empfiehlt Kunden dringend, sicherzustellen, dass der Zugang zur Verwaltungsoberfläche korrekt und im Einklang mit den empfohlenen Best-Practices-Richtlinien erfolgt. Dafür stellt das Unternehmen auch eine Anleitung bereit. Um potenziell betroffene Geräte zu identifizieren, sollen Kunden sich ins Kundenportal einloggen und dort unter "Products" – "Assests" – "All Assets" – "Remediaten Required" nachschauen. Palo Alto scannt das Internet regelmäßig auf öffentlich erreichbare Palo-Alto-Geräte. Geräte, die dort mit "PAN-SA-2024-0015" markiert wurden, bedürfen der Aufmerksamkeit von Admins.

Indizien für Angriffe (Indicators Of Compromise, IOCs) könne man nicht nennen. Auch wisse der Hersteller nichts von aktiven Exploitversuchen.

Am Oktober-Patchday, der am 10. Oktober 2024 stattfand, hat Microsoft auch ein Update für die Windows-Update-Komponenten veröffentlicht. Die weitgehend unbeachtet gebliebene Aktualisierung hat jedoch praktische Funktionen nachgerüstet. Microsoft installiert es auch nur auf bestimmten Windows-Versionen.

Anzeige

In einem Support-Artikel beschreibt Microsoft den Inhalt der Aktualisierung. Die Updates zum KB5001716-Artikel sorgen dafür, dass Nutzerinnen und Nutzer eine Benachrichtigung erhalten, dass eine installierte Windows-Version keine Aktualisierung mehr erhält und am Ende des Lebenszyklus angelangt ist.

Die Autoren schreiben: "Nach der Installation dieses Updates zeigt Windows möglicherweise in regelmäßigen Abständen eine Benachrichtigung an, die Sie über Probleme informiert, die Windows Update daran hindern, Ihr Gerät auf dem neuesten Stand zu halten und vor aktuellen Bedrohungen zu schützen. So kann beispielsweise eine Benachrichtigung angezeigt werden, die Sie darüber informiert, dass auf Ihrem Gerät derzeit eine Version von Windows ausgeführt wird, deren Support-Lebenszyklus abgelaufen ist, oder dass Ihr Gerät nicht die Mindestanforderungen an die Hardware für die derzeit installierte Version von Windows erfüllt."

Diese Benachrichtigungen sollen Betroffene jedoch nicht stören. Sie berücksichtigen laut Microsoft aktivierten Vollbildmodus etwa bei Spielen, Ruhezeiten (Nicht-stören-Modus) oder einen eingeschalteten Fokus-Modus von Windows.

Die Staatsanwaltschaft und die Polizei Dresden ermitteln gegen einen Systemadministrator, der eine komplette Wahlbenachrichtigungsdatei mit personenbezogenen Daten von 430.000 Bürgern der sächsischen Hauptstadt rechtswidrig auf mindestens einen externen Datenträger kopiert haben soll. Dieses Verzeichnis enthält die Namen, Anschriften und Geburtsdaten aller Dresdner Wahlberechtigten.

Anzeige

Der Beschuldigte war im kommunalen Eigenbetrieb IT-Dienstleistungen verantwortlich für die datentechnische Unterstützung der Wahlen für das Bürgeramt, erklärte die Stadtverwaltung am Freitag. Die Erstellung und Speicherung des Wählerverzeichnisses sei Teil seiner Arbeit gewesen. Für die dienstliche Verwendung der Kopie soll es aber keine Anhaltspunkte gegeben haben.

Die Behörden werfen dem 54-Jährigen auch vor, zwischen Mai und dem 22. Oktober wiederholt unbefugt externe private Speichermedien an dienstliche IT-Technik der Landeshauptstadt Dresden angeschlossen und dabei insgesamt rund 270.000 Dateien transferiert zu haben. Der Verdacht des Datenschutzverstoßes sei bei regulären Prüfungen zum dienstgerechten Umgang mit personenbezogenen Informationen durch den IT-Eigenbetrieb Ende Oktober festgestellt worden, führt die Kommunalverwaltung aus.

Der Dienststellenleiter habe unverzüglich sämtliche Zugriffe des Beschuldigten gesperrt, heißt es weiter. Er habe Dienstgeräte sicherstellen lassen und ein Hausverbot erteilt. Parallel sei der Sicherheitsvorfall bei der sächsischen Datenschutzbeauftragten, beim Security-Notfallteam Sax.cert und beim Landeskriminalamt angezeigt worden.

IT-Sicherheitsforscher von Sentinel haben eine neue Malware-Kampagne entdeckt, die sie der nordkoreanischen Cyberkriminellen-Gruppierung Blue Noroff zuschreiben. Mit einer macOS-spezifischen mehrstufigen Malware zielen die Angreifer auf Firmen aus dem Kryptowährungssektor ab.

Anzeige

Die Angreifer ködern ihre Opfer laut der IT-Forscher mit E-Mails, die sie als Newsletter über die Kryptowährungstrends tarnen. Die Angreifer nutzen den Namen einer realen Person als Absender, die die Mail eines Krypto-Influencers weiterleitet. Die Opfer infizieren sich, wenn sie auf einen Link zu vermeintliche PDF-Dateien in der Mail klicken, der mit Titeln wie "Das versteckte Risiko hinter dem neuen Bitcoin-Preisanstieg" lockt. Angelehnt an den PDF-Namen haben die Forscher die Kampagne HiddenRisk genannt.

Bei der initialen Infektion gelangt ein sogenannter Dropper auf das betreffende System. Dabei handelt es sich um ein Softwarepaket, das einen Virus enthält. Dieser nistet sich auf dem System ein, um dann weitere Schadsoftware nachzuladen.

Der in der von Apple entwickelten Programmiersprache Swift geschriebene Dropper wurde am 19. Oktober von der Apple-Developer-ID “Avantis Regtech Private Limited (2S8XHJ7948)” signiert und notarisiert. Mittlerweile hat Apple die Signatur widerrufen. Eigentlich dient eine solche Signatur und Notarisierung der Bestätigung von Funktionalität und Sicherheit einer Software.

Russische Webseiten-Betreiber und -Nutzer sollen Abstand von Diensten des US-Anbieters Cloudflare nehmen, empfiehlt die Zensur- und Aufsichtsbehörde Roskomnadzor. Grund dafür ist die Einführung einer TLS-Erweiterung namens Encrypted Client Hello (ECH) durch Cloudflare. Die russische Aufsichtsbehörde sieht dadurch die Sicherheit im Land gefährdet, da sie nun bestimmte Webseiten nicht mehr blockieren kann. Deswegen blockiert sie rundheraus alle von Cloudflare ausgelieferten Webseiten mit ECH.

Anzeige

Dessen Nutzung sei gesetzeswidrig und verstoße gegen "Technische Maßnahmen zur Bekämpfung von Bedrohungen" ("техническими средствами противодействия угрозам"), so Rozkomnadzor in einer Mitteilung. Die ECH-Erweiterung verschlüsselt den Domainnamen beim Aufruf einer Webseite per HTTPS so, dass mithorchende Firewalls oder Zensurstellen diesen nicht mehr einsehen können, sondern lediglich eine generische Domain (im Falle Cloudflares "cloudflare-ech.com") ermitteln. Sie ersetzt das unsichere SNI (Server Name Indication), das diesen Domainnamen unverschlüsselt zwischen Client und Server übertrug.

Die Cloudflare-ECH-Domain blockieren russische Provider nun, sofern ein zweites Kriterium ebenfalls zutrifft: Die ECH-Protokollerweiterung ist gesetzt. Trifft eines der beiden Kriterien nicht zu, so lassen die russischen Zensurmechanismen das Paket passieren. Damit sind alle über Cloudflares CDN (Content Delivery Network) ausgelieferten Webseiten inner- und außerhalb Russlands potenziell betroffen.

Wie groß die Auswirkungen dieser Blockade sind, ist unklar: Cloudflare hat auf eine Anfrage der heise-Redaktion bislang nicht geantwortet. Wir werden diese Meldung ergänzen, sobald eine Stellungnahme aus San Francisco eingeht.

Eigentlich soll Dells Backup-Appliance PowerProtect DD die Ausfallsicherheit bei Cyberattacken steigern. Aufgrund von mehreren Softwareschwachstellen können Angreifer nun aber Systeme attackieren. Dagegen stehen abgesicherte Ausgaben zum Download.

Anzeige

Wie aus einer Warnmeldung hervorgeht, finden sich die Lücken in verschiedenen Komponenten, die PowerProtect DD nutzt. Davon sind neun Schwachstellen (CVE-2022-1996, CVE-2022-32207, CVE-2022-32221, CVE-2023-38545, CVE-2023-23914, CVE-2024-23652, CVE-2024-23653, CVE-2019-14889, CVE-2022-29361 ) mit dem Bedrohungsgrad "kritisch" eingestuft. Neben aktuellen Lücken schließen die Sicherheitspatches auch ältere Lücken.

Die Schwachstellen betreffen unter anderem Apache Tomcat, curl und OpenSSL. Setzen Angreifer etwa an einer Lücke (CVE-2024-23652 "kritisch") in Buildkit an, können sie Dateien manipulieren. Durch eine Schwachstelle (CVE-2023-51257 "hoch") in Jasper kann Schadcode auf Systeme gelangen.

Darüber hinaus können Angreifer die Authentifizierung umgehen (Komponente containerd CVE-2022-1996 "kritisch") oder eigentlich verschlüsselte Daten im Klartext einsehen (Komponente curl CVE-2023-23914 "kritisch").

Die US-amerikanische IT-Sicherheitsbehörde CISA hat vier Sicherheitslücken neu in den Known-Exploited-Vulnerabilitites-Katalog aufgenommen. Dort sammelt die Behörde Schwachstellen, auf die Angriffe in freier Wildbahn beobachtet wurden. IT-Verantwortliche sollten daher prüfen, ob die dort gelisteten Sicherheitslücken in ihren Organisationen geschlossen wurden.

Anzeige

Die CISA schreibt in ihrer Ankündigung, dass jetzt Sicherheitslecks in Android, Cyberpanel, Nostromo nhttpd und Palo Alto Expedition attackiert wurden. Von zwei der genannten Schwachstellen war das bereits zuvor bekannt. Die November-Patchsammlung zum Android Patchday brachte bereits ein Update mit, das die Sicherheitslücke in der Google-Docs-Bedienoberfläche schließt und von der Google dort berichtete, dass sie angegriffen wurde (CVE-2024-43093).

In der Vorwoche wurden zudem Angriffe auf Server bekannt, auf denen Cyberpanel installiert ist. Die Cybergang Psaux steckt hinter den Attacken auf die kritische Sicherheitslücke CVE-2024-51567 und ist rund 22.000 Instanzen angegangen. Vor einer Schwachstelle in Palo Altos Migrationswerkzeug Expedition hatte der Hersteller bereits im Juli dieses Jahres gewarnt. Die Lücke mit dem CVE-Eintrag CVE-2024-5910 gilt ebenfalls als kritisch und ermöglicht die Kompromittierung von Netzwerken. Der Fehler liegt in einer fehlenden Authentifizierung, die die Übernahme des Expedition-Admin-Kontos ermöglicht.

Die vierte in Angriffen beobachtete Sicherheitslücke betrifft den Nostromo nhttpd-Server. Sie wurde bereits 2019 gemeldet, Updates zum Stopfen des Sicherheitslecks stehen seitdem bereit. In freier Wildbahn haben bösartige Akteure nun die Directory-Traversal-Lücke missbraucht, die in der Funktion http_verify der Software steckt und das Ausführen von eingeschleustem Schadcode führen kann – dazu reicht das Senden sorgsam präparierter HTTP-Anfragen (CVE-2019-16278, CVSS 9.8, Risiko "kritisch").

Auf Anraten der Geheimdienste befiehlt Kanadas Regierung die Schließung der Firma TikTok Technology Canada, Inc. Das ist eine Tochterfirma des chinesischen Bytedance-Konzerns. Solche Anordnungen sind möglich, wenn ausländische Direktinvestitionen die Nationale Sicherheit der Monarchie verletzen könnten. Wie die EU hat auch Kanada im Vorjahr Tiktok von Beamtenhandys verbannt. Private Nutzung der Videoapp bleibt in Kanada allerdings weiterhin möglich.

Anzeige

Daran soll auch die Schließung der Tiktok-Büros in Toronto und Vancouver nichts ändern. "Die Regierung sperrt den Zugriff von Kanadiern auf die Tiktok-App oder die Möglichkeit, Inhalte bereitzustellen, nicht", betont Innovationsminister François-Philippe Champagne von der Liberalen Minderheitsregierung, "Es ist eine persönliche Entscheidung, eine App oder Plattform für ein Soziales Netz zu verwenden." Eine Empfehlung ist das nicht. Der Minister verweist auf Ratschläge der IT-Sicherheitsabteilung des Geheimdienstes CSE (Communications Sercutiy Establishment", die Bürgern dabei helfen sollen, die möglichen Risiken von Kommunikationsprogrammen besser einzuschätzen.

Die Entscheidung, die Tochterfirma abwickeln zu lassen, beruhe auf einer "mehrstufigen Untersuchung (aus dem Blickwinkel) der Nationalen Sicherheit", sagt der Minister: "Die Regierung ergreift Maßnahmen, um den spezifischen Risiken für die Nationale Sicherheit entgegenzuwirken, die in Verbindung mit Bytedance' Betrieb in Kanada durch die Einrichtung von TikTok Technology Canada stehen. Diese Entscheidung basiert auf Informationen und Beweisen, die im Rahmen der Untersuchung gesammelt wurden, und dem Rat der kanadischen Geheimdienste und anderer Regierungspartner."

Tiktok kündigt in einer kurzen Stellungnahme an, gegen die Anordnung vor Gericht zu ziehen. Auf die Bedenken der Regierung geht das Unternehmen dabei nicht ein. Stattdessen weist es darauf hin, dass die Schließung der kanadischen Büros "hunderte gut bezahlte Stellen" koste. Wie viele Mitarbeiter Tiktok in Kanada genau hat, ist nicht öffentlich bekannt. Online finden sich zirka 80 Stellenangebote der Firma, doch muss nicht hinter jeder Annonce tatsächlich ein freier Arbeitsplatz stehen.

Die Endpoint-Management-Plattform HCL BigFix ist verwundbar. Admins sollten sicherstellen, dass ihre Systeme über die verfügbaren Sicherheitsupdates vor möglichen Attacken geschützt sind. Über eine "kritische" Lücke kann Schadcode auf Computer gelangen.

Anzeige

Wie aus einer Warnmeldung hervorgeht, betreffen die Softwareschwachstellen verschiedene Komponenten das WebUI. Insgesamt geben die Entwickler an, 13 Lücken geschlossen zu haben. Am gefährlichsten gilt eine Lücke (CVE-2024-38996 "kritisch") über die Angreifer Instanzen via DoS-Attacke lahmlegen können. Unter Umständen kann es sogar zur Ausführung von Schadcode kommen. In so einem Fall gelten Systeme in der Regel als vollständig kompromittiert. Wie so eine Attacke im Detail ablaufen könnte, ist derzeit nicht bekannt.

Zwei Lücken sind mit dem Bedrohungsgrad "hoch" eingestuft (CVE-2024-45590, CVE-2024-45296). An diesen Stellen können Angreifer mit präparierten Anfragen DoS-Zustände erzeugen. Die verbleibenden Schwachstellen sind mit "mittel" eingestuft. Hier können unter anderem Informationen leaken.

Ob es bereits Attacken gibt und wie Admins bereits attackierte Instanzen erkennen können, führt HCLSoftware zurzeit nicht aus. Um Systeme zu schützen, müssen Admins im WebUI sicherstellen, dass die abgesicherten Versionen der betreffenden Komponenten installiert sind:

Das FBI Atlanta hat unlängst eine Warnung herausgegeben, dass Cyberkriminelle auf Session-Cookie-Diebstahl setzen, um E-Mail-Konten zu übernehmen. Die Methode ist nicht neu, scheint aber zuzunehmen. Das Perfide daran: Auch sicherere Anmeldemethoden, etwa Passkeys oder die verschiedenen Arten der Zwei-Faktor-Authentifizierung, schützen nicht vor einer Account-Übernahme auf diesem Weg.

Anzeige

An einer Lösung für das Problem arbeitet Google schon seit einiger Zeit: Sogenannte Device Bound Session Credentials sollen künftig verhindern, dass Angreifer eine aktive Sitzung aus der Ferne übernehmen können. Die Entwicklung findet in einem öffentlichen GitHub-Projekt statt. Ziel ist die Schaffung eines offenen Webstandards. Aktive Sitzungen sollen mit Device Bound Session Credentials an das jeweilige Gerät gebunden werden. Gestohlene Cookies könnten dann nicht mehr genutzt werden, um sich aus der Ferne in einen Account einzuloggen.

Der Mechanismus erinnert ein wenig an Passkeys: Wie das Anmeldeverfahren setzt er auf Public-Key-Kryptografie: Beim Einloggen bei einem Dienst wird ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel generiert. Der private Schlüssel soll sicher auf dem jeweiligen Gerät gespeichert werden, der öffentliche Schlüssel auf dem Server des jeweiligen Webdienstes. Um den privaten Schlüssel sicher zu verwahren, wollen die Entwickler geschützte Hardwaremodule wie beispielsweise das Trusted Plattform Module (TPM) eines Windows-Rechners einspannen. Nutzer sollen einmal generierte Schlüssel jederzeit in den Browser-Einstellungen löschen können.

Bis es soweit ist, kann man sich gegen Session Cookie Diebstahl schützen, indem man sich keine Malware einfängt, die die Cookies stiehlt. Wichtig ist etwa, dass man nur über sichere Verbindungen im Netz surft und nicht auf Phishingmails hereinfällt, in denen sich etwa ein Link zum Download einer solchen Malware verbirgt. Um die Chancen weiter zu minimieren, sollte man sich immer von einem Dienst abmelden, statt einfach das Browserfenster oder den Tab zu schließen. Durch Beenden des Browsers werden aktive Sitzungen ebenfalls beendet und das Session Cookie ungültig.

Cisco hat in der Nacht zum Donnerstag 15 neue Sicherheitsmitteilungen veröffentlicht. Sie decken eine ganze Palette an Produkten ab. Darunter finden sich eine als kritisches Risiko und zwei als hochriskant betrachtete Sicherheitslücken. IT-Verantwortliche sollten prüfen, ob sie verwundbare Geräte einsetzen, und die bereitstehenden Aktualisierungen zeitnah anwenden.

Anzeige

In der Cisco Unified Industrial Wireless Software findet sich eine Schwachstelle (CVE-2024-20418), die mit einer CVSS-Einstufung 10 von 10 möglichen Punkten das höchstmögliche Risiko, "kritisch", darstellt. Sie findet sich in der webbasierten Verwaltungsoberfläche von Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Points. Nicht authentifizierte Angreifer aus dem Netz können dadurch Befehle einschleusen, die mit root-Rechten im Betriebssystem ausgeführt werden. Dazu reicht das Senden manipulierter HTTP-Anfragen an die Verwaltungsoberfläche. Für die betroffenen Catalyst IW9165D Heavy Duty Access Points, Catalyst IW9165E Rugged Access Points und Wireless Clients und Catalyst IW9167E Heavy Duty Access Points stehen Updates bereit, die das Sicherheitsleck abdichten.

In Ciscos Nexus Dashboard Fabric Controller können angemeldete Angreifer aus dem Netz, die lediglich Leserechte besitzen, zudem eine SQL-Injection-Schwachstelle in einem REST-API-Endpunkt sowie in der webbasierten Verwaltungsoberfläche missbrauchen, um beliebige SQL-Befehle auf verwundbaren Geräten zu missbrauchen. Das ermöglicht ihnen, beliebige Daten einer internen Datenbank zu lesen, verändern oder zu löschen, was "Auswirkungen auf die Verfügbarkeit" angegriffener Geräte haben kann (CVE-2024-20536, CVSS 8.8, hoch).

Ebenfalls als hohes Risiko betrachten Ciscos Entwickler eine Denial-of-Service-Lücke in Ciscos Enterprise Chat und Email. Nicht authentifiziertebösartige Akteure aus dem Netz können die Schwachstelle in der External Agent Assignment Service (EAAS)-Funktion provozieren, indem sie speziell präparierten Media Routing Peripheral Interface Manager (MR PIM)-Traffic an verwundbare Geräte senden (CVE-2024-20484, CVSS 7.5, hoch).

Microsoft hat Probleme mit gestörten Office-Apps gemeldet, die nach einem Upgrade auf Windows 11 24H2 auftreten können. Ursache dafür war Sicherheitssoftware von Crowdstrike.

Anzeige

Die bislang kaum beachtete Mitteilung von Microsoft geht bereits auf Mitte Oktober zurück. "Office-Apps können betroffen sein. Das Problem tritt auf, wenn Antimalware-Sicherheitslösungen bestimmte Funktionen aktivieren", fassen die Entwickler von Microsoft das Problem zusammen.

"Nach der Installation von Windows 11 24H2, können Microsoft- und Dritthersteller-Apps nicht mehr reagieren, wenn Antimalware-Sicherheitslösungen bestimmte Funktionen aktivieren. Office-Anwendungen wie Word und Excel können betroffen sein", schreiben die Autoren. Auf betroffenen Geräten laufe Crowdstrikes Falcon-Sensor mit der aktivierten Richtlinie "Enhanced Exploitation Visibility" in der Prevention-Richtlinie für den Host.

Die meisten betroffenen Organisationen berichteten Microsoft zufolge, dieses Verhalten nach InPlace-Upgrades und Neuinstallationen von Windows 11 24H2 beobachtet zu haben. Microsoft untersuche, ob das Problem mit vorherigen Windows-Versionen und anderer Dritthersteller-Sicherheitssoftware auftreten könne. Es seien lediglich Organisationen und IT-Umgebungen betroffen, die verwaltet werden. Nutzerinnen und Nutzer von Home- oder Pro-Versionen von Windows, die nicht von einer IT-Abteilung verwaltet werden, würden das Verhalten wahrscheinlich nicht beobachten.

"Mehr als 22.000 schädliche IP-Adressen offline genommen", feiert Interpol. Die Koordinierungseinrichtung hat Zusammenarbeit von Polizeibehörden in 95 Ländern organisiert, die fünf Monate lang gemeinsam gegen Phishing, Infostealer und Ransomware vorgegangen sind. Dabei haben sie 59 Server beschlagnahmt und 41 Personen festgenommen. Das sind annähernd 0,003 Festnahmen pro Tag und Land.

Anzeige

Zusätzlich zu den 59 Servern wurden 43 elektronische Geräte, darunter Laptops, Handys und Festplatten, beschlagnahmt, elf davon in Madagaskar. Gegen 65 weitere Personen wird noch ermittelt. Interpol nennt die Kampagne "Operation Synergia II".

Immerhin dürfte die Zahl der dabei offline genommenen (aber nicht beschlagnahmten) Server im fünfstelligen Bereich liegen. Genaue Angaben macht Interpol dazu nicht; die Organisation hebt lediglich fünf Gebiete hervor: In Hongkong wurden demnach 1.037 Server offline genommen, nebenan in Macao weitere 291. Aus Estland wird über die Beschlagnahme von "80 GByte Serverdaten" berichtet. In der Mongolei gab es 21 Hausdurchsuchungen, einen beschlagnahmten Server und 93 Verdächtige. Madagaskar zählt elf beschlagnahmte elektronische Geräte und hat ebenso viele Personen ausgemacht, die "Verbindung" zu Malware-Servern haben sollen.

Einbezogen in die Operation Synergia II waren die IT-Sicherheitsunternehmen Group-IB, Trend Micro, Kaspersky und Team Cymru. Sie haben verdächtige Aktivitäten gemeldet, die von insgesamt 30.000 IP-Adressen ausgegangen sind. Davon haben die 95 teilnehmenden Interpol-Mitgliedsstaaten zwei Drittel stillgelegt. Interpol hat 196 Mitglieder, von Afghanistan bis Vietnam. Welche davon sich beteiligt haben, sagt die Koordinierungseinrichtung nicht.