Comretix Blog

Wenn Angreifer erfolgreich an Sicherheitslücken in IBM AIX/VIOS und DataPower Gateway ansetzen, kann Schadcode auf Systeme gelangen und diese kompromittieren. Updates schließen die Schwachstellen.

Bislang gibt es keine Berichte, dass Angreifer das Unix-Betriebssystem AIX oder die Sicherheits- und Integrationsplattform DataPower Gateway attackieren. Admins sollten mit der Installation der Sicherheitspatches aber nicht zu lange warten.

Weil die Perl-Implementierung in AIX/VIOS fehlerhaft ist, können Angreifer an einer Lücke (CVE-2025-33112 "hoch") ansetzen. Das Sicherheitsproblem besteht darin, dass Pfadnamen-Eingaben nicht ausreichend bereinigt werden, sodass lokale Angreifer an dieser Stelle mit präparierten Eingaben ansetzen können. Klappt so eine Attacke, kommt es zu Ausführung von Schadcode. Danach gelten Computer in der Regel als vollständig kompromittiert.

In einer Warnmeldung zu dieser Lücke beschreiben die Entwickler, wie man das Sicherheitsupdate installiert.

Wie aus einem Beitrag hervorgeht, haben die Entwickler in DataPower Gateway unzählige Sicherheitslücken geschlossen, deren Auflistung den Rahmen dieser Meldung sprengt. Sie betreffen alle den Linux-Kernel des Systems. Der Großteil der Schwachstellen ist mit dem Bedrohungsgrad "mittel" eingestuft. Über mehrere mit "hoch" eingestufte Lücken (zum Beispiel CVE-2024-26704) kann Schadcode auf Systeme gelangen.

Seit Anfang des Jahres enthalten immer mehr Phishing-Mails einen Datei-Anhang mit einer SVG-Grafik, wie nahezu alle Anbieter von E-Mail-Sicherheits-Lösungen übereinstimmend berichten. Jetzt warnt auch das österreichische CERT.at vor der davon ausgehenden Gefahr.

Scalable Vector Graphics, kurz SVGs, bestehen aus beschreibendem Text im XML-Format, der den Renderer – im Allgemeinen den Browser – anweist, Objekte an bestimmten Positionen zu zeichnen. Das lässt sich dann beliebig in der Größe variieren, ohne dass dabei etwa Schrift verpixelt.

Allerdings können solche Vektorgrafiken auch JavaScript-Code enthalten, den der Browser beim Öffnen der Datei ausführt. Das machen sich die Phisher zunutze, indem sie die Empfänger auf gefälschte Anmeldeseiten lotsen oder auch Schadsoftware installieren. Ziel ist es fast immer, Passwörter oder andere Zugangs-Credentials abzugreifen. Die SVGs kommen häufig als Rechnungen, angebliche Sprachnachrichten oder zu signierende Dokumente.

Diese Demo aus meinem Vortrag auf der heise security Tour enthält harmloses JavaScript, das "heise security ROCKS" ausgibt.

Viele Sicherheitslösungen überprüfen SVG-Dateien nicht ausreichend, sodass auf diesem Weg Schadcode auf die Systeme der Opfer gelangen könne, warnt das Advisory der österreichischen Security-Experten. Als vorbeugende Schutzmaßnahme blockiert man im einfachsten Fall vorsichtshalber den Empfang von SVG-Grafiken, etwa auf dem Mail-Gateway. Allerdings kann das durchaus zu Problemen führen, wenn diese Anhänge benötigt werden. Dann ist es vielleicht eine Option, zumindest jene Mails, die Skripte enthalten, in Quarantäne zu verschieben. Ansonsten muss man notgedrungen darauf setzen, dass Anwender die von SVGs ausgehende Gefahr richtig einschätzen, und kann versuchen, dies durch entsprechende Hinweise und Schulungen zu unterstützen.

Nach Apple will sich nun auch WhatsApp dagegen wehren, dass die britische Regierung versucht, zwangsweise Hintertüren in iOS zu implementieren. Meta-Manager Will Cathcart, der der Messaging-App vorsteht, sagte, man unterstütze Apple in seinem aktuell laufenden rechtlichen Abwehrkampf gegen das britische Innenministerium (UK Home Office). Er fürchte, dass hier ein "gefährlicher Präzedenzfall" geschaffen werde, der auch andere Nationen ermutigen könne, Verschlüsselung zu brechen, ohne die Nutzer nicht sicher im Netz und auf ihren Geräten agieren können.

"WhatsApp wird gegen jedes Gesetz und jede behördliche Anordnung, die darauf abzielt, die Verschlüsselung unserer Dienste zu schwächen, vorgehen und sich weiter für das Recht der Menschen auf private Online-Kommunikation einsetzen", sagte Cathcart dem britischen Sender BBC. Ob Meta und/oder seine Tochter WhatsApp das bereits tun, ist unklar. Ein großes Problem ist, dass die Anweisungen, die das UK Home Office Digitalfirmen erteilt, geheim sind. Apple musste erst juristisch Druck machen, um Teile der Schnüffelbefehle offenlegen zu können. Entsprechend ist es durchaus möglich, dass auch andere Unternehmen bereits entsprechende Aufforderungen erhalten haben.

Das Thema Hintertür ist auch ein politisch heißes Eisen: So sieht die US-Regierung darin ein ähnliches Agieren wie jenes der chinesischen Regierung beim Ausspionieren der Bevölkerung. So etwas "kennt man aus China", hatte Präsident Donald Trump im März in einem Interview mit dem britischen Politikmagazin The Spectator gesagt. Er habe dem britischen Premierminister Keir Stamer gesagt, dass man das "nicht machen" könne. Auch die Direktorin für Nationale Sicherheit, Tulsi Gabbard, kritisierte das Vorhaben scharf. Es handele sich um einen "ungeheuerlichen Verstoß" gegen die Privatsphäre der US-Bürger.

Sollte Apple tatsächlich dazu gezwungen werden, eine Hintertür in iOS einzubauen, wären Nutzer in aller Welt betroffen. Apple hatte Anfang Februar laut Medienberichten eine geheime Anweisung nach dem umstrittenen Investigatory Powers Act (IPA) erhalten. Offiziell wurde das zunächst nicht bestätigt, da alle Beteiligten auch von Gesetzes wegen Stillschweigen darüber zu wahren haben. Apple hatte zwischenzeitlich erwogen, Großbritannien wegen des neuen Gesetzes zu verlassen.

Das Spionagegesetz ermächtigt die britische Regierung, im Geheimen ein Veto gegen technische Schutzmaßnahmen einzulegen, wie etwa eine verbesserte Verschlüsselung – und das mit weltweiten Auswirkungen. Genau dies soll Apple mit seiner Advanced Data Protection (ADP) getroffen haben. Um diese zu umgehen, wollen die britischen Behörden direkten Zugriff aufs Betriebssystem: Dann wäre es egal, ob die Informationen (auch für Apple nicht einsehbar) in der Cloud liegen. Ähnliche Ansätze versucht übrigens auch die EU: Hier will man ebenfalls vor der Verschlüsselung an die Daten. Hinzu kommt eine geforderte Pflicht nach einer sogenannten Chatkontrolle.

Die Softwareentwicklungsplattform GitLab ist verwundbar. Mehrere Sicherheitslücken gefährden Systeme. Nach erfolgreichen Attacken können Angeifer unter anderem die Kontrolle über Accounts erlangen und unbefugt auf Daten zugreifen.

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler in GitLab Community Edition und Enterprise Edition insgesamt zehn Lücken geschlossen. Auch wenn es derzeit noch keine Berichte über laufende Attacken gibt, empfehlen die Entwickler Admins, die abgesicherten Versionen auf ihren selbstverwalteten Installationen umgehend zu installieren. Sie geben an, dass auf GitLab.com bereits die reparierten Ausgaben laufen.

Geschieht das nicht, können Angreifer unter anderem Accounts kapern (CVE-2025-4278 "hoch"), eigenen Code ausführen (CVE-2025-2254 "hoch") und Systeme über DoS-Attacken (etwa CVE-2025-0673 "hoch") aus dem Verkehr ziehen. Außerdem können Angreifer noch auf eigentlich abgeriegelte Informationen zugreifen (CVE-2025-5195 "mittel"). Wie solche Attacken ablaufen könnten, ist bislang unklar. Unbekannt ist derzeit auch, an welchen Parametern Admins bereits attackierte Systeme erkennen können.

Die Entwickler versichern, die Schwachstellen in den Ausgaben 17.10.8, 17.11.4 und 18.0.2 bereinigt zu haben. Zusätzlich haben sie in den aktuellen Versionen noch mehrere Bugs gefixt, die in der Warnmeldung aufgelistet sind. Die Sicherheitslücken seien intern entdeckt worden.

In den vergangenen Monaten haben die Entwickler GitLab unter anderem gegen Admin-Attacken abgesichert, bei denen heruntergestufte Admins weitreichende Rechte behalten haben.

In der aktuellen Folge 136 des c't-Datenschutz-Podcasts sprechen Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich mit Carolin Loy über die Arbeit und Haltung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Loy (LinkedIn-Profil) leitet dort den Bereich Digitalwirtschaft, ist Pressesprecherin und hat Einblick in viele aktuelle Datenschutzthemen – von Künstlicher Intelligenz bis hin zu Cookie-Bannern. Sie hatte die vorvergangene Episode 134 im heise-Forum kritisch kommentiert und folgte postwendend einer darauffolgenden Einladung von Heidrich.

Carolin Loy in der Auslegungssache

Zum Start geht es aber zunächst um ein 45-Millionen-Euro-Bußgeld gegen die deutsche Vodafone GmbH. Die Bundesdatenschutzbeauftragte verhängte diese Summe, weil Vodafone Partneragenturen nicht ausreichend kontrollierte und die Kundenauthentifizierung bei E-SIMs mangelhaft war. Auffällig: Vodafone akzeptierte das Bußgeld schnell, arbeitete bei der Aufklärung mit und spendete zusätzlich an gemeinnützige Organisationen.

Einen zweiten Schwerpunkt bildet ein Beschluss des Oberlandesgerichts Köln zu Metas Plänen, öffentliche Facebook- und Instagram-Profile zum Training von KI-Systemen zu nutzen. Das Gericht entschied im Eilverfahren, zu dem noch keine schriftliche Begründung vorliegt: Meta darf diese Daten ohne ausdrückliche Einwilligung der Nutzer heranziehen. Die Interessen von Meta seien berechtigt, zudem hätte Meta Nutzern Widerspruch ermöglicht.

In der Podcast-Episode geht es unter anderem um die Frage, ob Nutzer wirklich damit rechnen müssen, dass alte und öffentliche Posts zu KI-Zwecken verarbeitet werden, und ob der Umgang mit sensiblen Daten ausreichend berücksichtigt wird. Loy betont, dass die Rechtslage nicht immer dem Bauchgefühl entspricht und verweist auf europäische Vorgaben, nach denen das KI-Training grundsätzlich auch ohne Einwilligung möglich sein kann, solange bestimmte Bedingungen erfüllt sind.

Palo Alto Networks hat Sicherheitsmitteilungen zu Schwachstellen in mehreren Produkten wie dem PAN-OS-Betriebssystem oder der GlobalProtect-App herausgegeben. Angreifer können die Sicherheitslücken missbrauchen, um Befehle einzuschleusen und mit erhöhten Rechten auszuführen, Schadcode einzuschleusen und auszuführen oder unbefugt Traffic einzusehen.

Der Hersteller spielt das Risiko der Sicherheitslücken in seinen Mitteilungen herunter, da er lediglich die Einstufung im Zeitverlauf (CVSS-BT) verwendet und nicht die für das akute Risiko (CVSS-B), das stets höher ist und das auch andere Hersteller verwenden. Im PAN-OS-Betriebssystem meldet Palo Alto drei Sicherheitslücken, von denen zwei hochriskant sind. Authentifizierte administrative User können aufgrund einer Befehlsschmuggel-Lücke Aktionen als "root"-Nutzer ausführen. Das Risiko ist größer, wenn das Management-Interface im Internet erreichbar ist (CVE-2025-4231 / noch kein EUVD, CVSS 8.6, Risiko "hoch"). PAN-OS 11.0.3 sowie 10.2.8 und neuer korrigieren das Problem.

Ähnlich gelagert ist die zweite Befehlsschmuggel-Lücke in PAN-OS, die zudem das Umgehen von Sicherheitsbeschränkungen ermöglicht und beliebige Befehle als "root" ausführt. Angreifer müssen dafür authentifziert sein und Zugriff auf das Kommandozeilen-Interface haben (CVE-2025-4230 / noch kein EUVD, CVSS 8.4, Risiko "hoch"). PAN-OS 11.2.6, 11.1.10, 10.2.14 sowie 10.1.14-h15 und jeweils neuere bessern die Schwachstelle aus; Admins mit älteren Fassungen sollen auf diese unterstützten Versionen migrieren. Das SD-WAN-Feature von PAN-OS weist zudem eine Schwachstelle auf, durch die Unbefugte unverschlüsselte Daten einsehen können, die die Firewall durch das SD-WAN-Interface schickt (CVE-2025-4229, CVSS 6.0, Risiko "mittel"). PAN-OS 11.2.7 (soll im Juni erscheinen), 11.1.10, 10.2.17 und 10.1.14-h16 (im Juli erwartet) dichten das Leck ab.

Im VPN-Client GlobalProtect filtert die Log-Funktion unter macOS einige Zeichen nicht korrekt, wodurch nicht-Admins ihre Rechte zu "root" ausweiten können (CVE-2025-4232, CVSS 8.5, Risiko "hoch"). Die GlobalProtect-App 6.3.3 und 6.2.8h2 (im Junin erwartet) für Mac stopfen die Lücke. Durch unzureichende Zugriffskontrolle können einige Pakete unverschlüsselt bleiben, anstatt ordentlich gesichert über den VPN-Tunnel zu laufen (CVE-2025-4227, CVSS 2.0, Risko "niedrig"). GlobalProtect 6.3.2-566, 6.3.3-h1 sowie 6.2.8-h2, die letzten beiden werden im Juni erwartet, für macOS und Windows bessern den Fehler aus.

Zudem ermöglicht eine Sicherheitslücke in Palo Alto Networks Cortex XDR Broker VM authentifizierten Admins, bestimmte Dateien in der Broker-VM auszuführen und dabei ihre Rechte auf "root" auszuweiten (CVE-2025-4228 / noch kein EUVD, CVSS 4.6, Risiko "mittel").

Sicherheitslücken in Schutzsoftware von Trend Micro machen Computer angreifbar. Betroffen sind die Produkte Apex Central2019, Apex CentrallAll, Apex OneAll, Apex One as a Service2019, Apex One as a ServiceAll, Internet Security, Maximum Security, Worry-Free Business Security und Worry-Free Business Security Services.

Am gefährlichsten gelten zwei "kritische" Schwachstellen (CVE-2025-49219, CVE-2025-49220) in Apex Central2019 und Apex CentrallAll. Wie aus der knappen Beschreibung der Warnmeldung hervorgeht, können Angreifer daran aus der Ferne für Schadcode-Attacken ansetzen. Wie solche Angriffe im Detail ablaufen könnten, ist bislang unklar. Die Entwickler versichern, die Lücken in den Ausgaben Apex Cental (on-prem) CP B7007 und Apex Central as a Service April 2025 Monthly Release geschlossen zu haben.

Apex One ist einem Beitrag zufolge in mehreren Versionen attackierbar. Im schlimmsten Fall können Angreifer in diesem Kontext Schadcode ausführen (CVE-2025-49155 "hoch"). Es gibt aber noch weitere Lücken. Repariert sind die Ausbaben Apex One SP1 CP Build 14002 und Apex One as a Service Security Agent Version: 14.0.14492.

In Internet Security 17.8.1464 haben die Entwickler eine Schwachstelle (CVE-2025-49384 "hoch") geschlossen. Darüber können sich Angreifer höhere Nutzerrechte verschaffen. Maximum Security ist in der Ausgabe 17.8.1464 (CVE-2025-49385 "hoch") geschützt. Über eine Sicherheitslücke (CVE-2025-49154 "hoch") in Worry-Free Business Security können Angreifer unberechtigt auf Systeme zugreifen.

Zuletzt sorgten mehrere Schwachstellen etwa in Deep Security Agent von Trend Micro im April für Schlagzeilen. Hier sind unter anderem DoS-Attacken möglich.

Die vergangene Woche bekanntgewordene kritische Sicherheitslücke in Roundcube Webmail wird inzwischen im Netz attackiert. Die Shadowserver Foundation sieht derzeit noch zigtausende verwundbare Instanzen, die frei im Netz zugreifbar sind. IT-Verwalter sollten zügig die verfügbaren Updates herunterladen und installieren.

Auf Mastodon informiert die Shadowserver Foundation über tausende verwundbare Roundcube-Systeme. Sie alle sind anfällig für eine Schwachstelle, durch die authentifizierte User Schadcode einschleusen und ausführen können, da der "_from"-Parameter einer URL in "program/actions/settings/upload.php" nicht überprüft wird, was zur Deserialisierung von PHP-Objekten führt (CVE-2025-49113 / EUVD-2025-16605, CVSS 9.9, Risiko "kritisch"). Die Sicherheitslücke missbrauchen Kriminelle im Internet, die US-amerikanische IT-Sicherheitsbehörde CISA hat sie deshalb Anfang der Woche in den Katalog der ausgenutzten Schwachstellen (Known Exploited Vulnerabilities Catalogue, KEV) aufgenommen.

Insgesamt sah die Shadowserver Foundation am Mittwoch 66.801 Roundcube-Webmail-Instanzen weltweit, die verwundbar sind. Davon stehen in den USA mehr als 15.000 Systeme, in Indien 12.000 und bereits an dritter Stelle folgt Deutschland mit noch mehr als 10.500 anfälliger Systeme. Insgesamt fiel die Gesamtzahl um rund 18.000 Systeme, am Dienstag der Woche waren weltweit noch knapp 85.000 Systeme mit der Schwachstelle im Netz.

Einige Admins kommen also ihrer Aufgabe nach und patchen die verwundbaren Systeme bereits. IT-Verantwortliche sollten nun dringend das Update auf die nicht mehr verwundbaren Versionen Roundcube 1.5.10 und 1.6.11 oder neuere vornehmen und so ihre Netzwerkumgebung vor Angriffen absichern. Leider nennen die CISA und auch Roundcube keine Indizien für Angriffe (Indicators of Compromise, IOCs), anhand derer Admins prüfen können, ob ihre Systeme bereits (erfolgreich) angegriffen wurden.

Die Mozilla-Entwickler haben das Mailprogramm Thunderbird in aktualisierten Fassungen veröffentlicht. Sie schließen eine Sicherheitslücke beim Verarbeiten von HTML-E-Mails, durch die Angreifer unter anderem unbefugt an Zugangsdaten gelangen können.

Die Mozilla-Stiftung hat zwei Sicherheitsmitteilungen dazu veröffentlicht, eine für Thunderbird 129.0.2 und eine für Thunderbird 128.11.1. Angreifer können die Sicherheitslücke durch den Einsatz von sorgsam präparierten "mailbox:///"-Links missbrauchen. Diese Links können laut Schwachstellenbeschreibung automatisch unaufgefordert zum Herunterladen von PDF-Dateien auf den Desktop oder in das User-Verzeichnis von Thunderbird-Nutzerinnen und -Nutzern führen, ohne ein Rückfrage zu erzeugen. Und das sogar dann, wenn Auto-Speichern nicht aktiviert ist.

Dadurch könnten Angreifer die Festplatte mit Müll-Daten verstopfen, schreiben die Entwickler, etwa durch die Nutzung von "/dev/urandom" unter Linux. Wenn bösartige Akteure sorgsam präparierte E-Mails mit derartig aufbereiteten SMB-Links an potenzielle Opfer schicken, kann die Anzeige der Mail im HTML-Modus zur Übermittlung von Windows-Zugangsdaten führen.

Die Mozilla-Programmierer schränken ein, dass Nutzerinteraktion nötig sei, um PDF-Dateien durch die Lücke herunterzuladen. Jedoch könne optische Verschleierung den Download-Auslöser verstecken. Das einfache Anzeigen von HTML-E-Mails reicht bereits aus, um externe Inhalte herunterzuladen.

Die Schwachstelle hat den CVE-Eintrag CVE-2025-5986 erhalten, die Enisa führt sie unter der Nummer EUVD-2025-18099. Mit einem CVSS-Wert von 6.5 gelangt sie zur Risikoeinstufung "mittel". Die Mozilla-Entwickler schätzen die Schwachstelle hingegen als Risiko "hoch" ein.

Mehrere Produkte von Fortinet sind verwundbar. Angreifer können an Sicherheitslücken in FortiADC, FortiAnalyzer, FortiClientEMS, FortiClientWindows, FortiManager, FortiManager Cloud, FortiOS, FortiPAM, FortiProxy, FortiSASE und FortiWeb ansetzen. Im schlimmsten Fall kann es zur Ausführung von Schadcode kommen.

Wie aus dem Sicherheitsbereich der Fortinet-Website zu entnehmen ist, ist der Großteil der Schwachstellen mit dem Bedrohungsgrad "mittel" eingestuft. Dort finden Admins auch Hinweise zu den gepatchten Versionen. Die Auflistung in diesem Beitrag sprengt den Rahmen dieser Meldung.

Am gefährlichsten gilt eine Lücke (CVE-2025-31104 / EUVD-2025-17797, CVSS 7.0, Risiko "hoch") in FortiADC. Weil bestimmte Teile von OS-Befehlen nicht ausreichend bereinigt werden, können authentifizierte Angreifer über präparierte HTTP-Anfragen Schadcode einschleusen und ausführen.

Nutzen Angreifer eine Schwachstelle (CVE-2024-54019 / EUVD-2025-17801, CVSS 4.4, Risiko "mittel") in FortiClientWindows erfolgreich aus, können sie etwa via DNS-Spoofing VPN-Verbindungen umleiten. Solche Attacken sollen ohne Authentifizierung möglich sein.

FortiOS ist unter anderem über eine Lücke (CVE-2024-50562 / kein EUVD, CVSS 4.4, Risiko "mittel") attackierbar und Angreifer können sich unbefugt Zugriff auf das SSL-VPN-Portal verschaffen. Dafür müssen sie aber im Besitz eines entsprechenden Cookies sein.

"Einfach und digital" sollen Übernachtungen mit dem Angebot des Berliner Start-ups Numa sein – also ohne Rezeption und vergleichbare Interaktionen, bei denen Reisende auf eine Anwesenheit anderer Menschen angewiesen sind. Doch etwas zu einfach geraten war wohl auch das Verständnis von Datensicherheit und Datenschutz bei Numa, wie zuerst Zeit Online berichtete.

Ein Mitglied des Chaos Computer Clubs (CCC), das den Anbieter nutzte, stellte erst fest, dass nicht nur die Rechnungsnummern buchhalterisch korrekt fortlaufend waren, wie der CCC auch in einer eigenen Mitteilung erörtert. Sondern auch die IDs der digitalen Dokumente – und konnte so durch simplen ID-Austausch in der Webadresse theoretisch alle Rechnungen des Anbieters einsehen, inklusive aller abrechnungsrelevanten Daten der Kunden.

Numa verlangte von den Nutzern zudem im Prozess des digitalen Check-ins das Hochladen einer amtlich bestätigten Identität, also etwa eines Personalausweises oder Reisepasses. Doch nach dem digitalen Check-in auf der Anbieterwebsite fand der CCCler laut Darstellung des Clubs auch noch ein JSON-Objekt "mit Name, E-Mail-Adresse, Telefonnummer und Ausweisdaten. Wir konnten weder nachvollziehen – noch verstehen – welchem Zweck dieses JSON-Objekt dienen sollte." Auch hier war laut Darstellung des Chaos Computer Clubs der Zugriff auf die Identitätsdaten Dritter möglich.

Der CCC informierte daraufhin den Betreiber sowie die zuständige Berliner Datenschutzaufsichtsbehörde. Laut Zeit Online informierte auch der Betreiber die Berliner Datenschutzbeauftragte von der Datenlücke. Laut Berliner Landesdatenschutzbeauftragter erfolgte die Meldung durch den CCC am 5. Juni und durch das Unternehmen am 6. Juni. Unklar ist, ob alle Betroffenen durch Numa bereits informiert wurden – Zeit Online berichtet, dass der Schritt bereits erfolgt sei, laut Berliner Datenschutzaufsicht soll dies im Laufe dieser Woche passieren.

Zwar scheint die Reaktion des Unternehmens schnell erfolgt zu sein. CCC-Sprecher Matthias Marx sieht aber ein grundsätzlicheres Problem: "Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden. Die Ausweisdaten hätten schlicht nie verarbeitet werden dürfen."

Die Sicherheitsupdates vom Juni-Patchday haben unter Windows 11 24H2 offenbar zu Kompatibilitätsproblemen geführt. Microsoft hat daher seit der Nacht zum Mittwoch das Update gestoppt und inzwischen durch ein ungeplantes Update außer der Reihe ersetzt.

Darauf weist Microsoft selbst im Windows Message Center hin. "Das Sicherheitsupdate aus dem Juni 2025 für Geräte, auf denen Windows 11 Version 24H2 läuft, wurde veröffentlicht und schrittweise seit dem 10. Juni 2025 verteilt. Wir haben jedoch ein Kompatibilitätsproblem festgestellt, das eine begrenzte Anzahl der Geräte mit Version 24H2 betrifft. Diese erhalten stattdessen das ungeplante Update KB5063060, das am 11. Juni 2025 veröffentlicht wurde", erklärt Microsoft dort.

In der Beschreibung zu KB5063060, das Windows 11 24H2 auf die Build-Nummer 26100.4351 hebt – anstatt 26100.4349 durch das reguläre Patchday-Sicherheitsupdate – erörtern Microsofts Entwickler das Problem etwas genauer. "Dieses Update löst ein Problem, durch das Windows unerwartet neu starten kann, wenn User Spiele starten, die den Easy Anti-Cheat-Dienst nutzen. Easy Anti-Cheat installieren bestimmte Spiele, um die Sicherheit zu verbessern und Betrügerein (Cheating) in Multiplayer-Online-Spielenvorzubeugen", schreibt das Unternehmen dort.

Das ungeplante Update außer der Reihe verteilt Microsoft automatisch über Windows Update und Microsoft Update auf Geräten, auf denen Easy Anti-Cheat installiert ist und auf denen das reguläre Patchdaya-Update KB506842 noch nicht angewendet wurde. MIcrosoft weist darauf hin, dass es sich um ein kumulatives Update handelt und es alle Sicherheitskorrekturen und Verbesserungen aus KB506842 ebenfalls enthält.

In der Nacht zum Mittwoch dieser Woche hat Microsoft die Sicherheitsupdates zum Juni-Patchday für diverse Systeme veröffentlicht. Die Software-Flicken stopfen etwa Sicherheitslücken in Internet-Explorer-Komponenten, die bereits in freier Wildbahn angegriffen und von Kriminellen missbraucht werden. Daher sollten die Aktualisierungen unbedingt installiert werden.

Nutzer von Microsoft 365 Copilot waren über Monate von einer kritischen Sicherheitslücke bedroht. Der KI-Assistent für Firmensoftware konnte dazu gebracht werden, sensible und andere Informationen preiszugeben. Dafür war lediglich eine E-Mail mit geschickt formulierten Anweisungen notwendig, es erforderte keinen menschlichen Mausklick. Denn die Künstliche Intelligenz (KI) hat die E-Mail selbstständig gelesen und verarbeitet. Microsoft hat dieses Problem aber bereits behoben.

M365 Copilot ist der KI-Assistent für die Microsoft 365-Anwendungen wie die Office-Produkte Word, Excel, Powerpoint, Outlook und Teams. Durch die Integration in das Netzwerk des Unternehmens hat der auf dem großen Sprachmodell GPT-4 von OpenAI basierende KI-Agent Zugriff auch auf teilweise sensible Firmendaten. Das können sich Angreifer zunutze machen, da die KI selbstständig agiert und etwa E-Mails an Mitarbeiter liest und verarbeitet. Im Gegensatz zu den bekannten Phishing-Mails ist hier kein Mausklick nötig.

Dieses Vorgehen haben die Sicherheitsforscher von Aim Security aufgedeckt. Doch selbst ohne menschliches Zutun erfordert das Ausnutzen dieser Sicherheitslücke besondere Formulierungen innerhalb der E-Mail, einschließlich speziell ausgeprägter Links. Auch sollten die Anweisungen für den KI-Agenten nicht zu offensichtlich für den menschlichen Leser sein, damit der Angriff nicht schnell nachvollzogen werden kann. Zwar sieht das Copilot-Zugriffssystem vor, dass jeder Mitarbeiter nur Zugriff auf seine eigenen Daten hat, aber auch diese könnten sensible Inhalte umfassen.

Microsoft führt diese von Aim Security "EchoLeak" genannte Sicherheitslücke als CVE-2025-32711 und beschreibt sie als "kritisch". Allerdings ist sie laut Konzern bislang nicht ausgenutzt worden und wurde jetzt geschlossen. Nutzer von M365 Copilot müssen nichts weiter unternehmen. Die Veröffentlichung als Security-Update dient demnach lediglich der Transparenz. Ein Microsoft-Sprecher sagte gegenüber Fortune die Implementierung "zusätzlicher tiefgreifender Verteidigungsmaßnahmen" zu, um "die Sicherheit weiter zu stärken".

Die Sicherheitsforscher haben die Lücke bereits im Januar dieses Jahres entdeckt und Microsoft gemeldet. Der Softwarekonzern hat allerdings rund fünf Monate gebraucht, um das Problem zu beheben. Adir Gruss, Mitgründer und Technikvorstand von Aim Security, bezeichnete die Reaktionszeit Microsofts gegenüber Fortune als "auf der (sehr) hohen Seite". Das dürfte daran gelegen haben, dass es sich um eine neuartige Sicherheitslücke handelt und es Zeit gebraucht hat, um die korrekten Teams und Mitarbeiter für die Gegenmaßnahmen zu finden und zu instruieren.

Kompromittierte persönliche Daten befeuern die digitale Unterwelt und ein kriminelles Ökosystem, das von Online-Betrug und Ransomware bis hin zu Kindesmissbrauch und Erpressung reicht. Davor warnt Europol in seiner am Mittwoch veröffentlichten Bedrohungsanalyse der organisierten Kriminalität im Internet für 2025. Die Ermittler zeichnen dabei nach eigenen Angaben "das düstere Bild einer Cyberkriminalitätswirtschaft, die auf Zugriff basiert – auf Ihre Systeme, Ihre Identität und Ihre sensibelsten Informationen".

Für eine Vielzahl von Kriminellen seien kompromittierte Daten "äußerst wertvoll", schreibt Europol in der Internet Organised Crime Threat Assessment (IOCTA). "Sie nutzen sie als eigenständige Ware, aber auch als Ziel für andere Zwecke, einschließlich der Begehung weiterer krimineller Aktivitäten."

Die zunehmende Verbreitung großer Sprachmodelle (LLMs) und anderer Formen generativer Künstlicher Intelligenz (KI) verbessere die Wirksamkeit von Social-Engineering durch die individuelle Kommunikation mit den Opfern und die Automatisierung krimineller Prozesse. KI und andere Schlüsseltechnologien beschleunigten so "die Schattenseiten der digitalen Revolution". Cyberkriminelle bauten darauf, "um Umfang und Effizienz ihrer Operationen zu steigern".

Ein florierender Teil des kriminellen Ökosystems dreht sich laut Europol um den Verkauf von Zugang zu kompromittierten Systemen und Konten. "Initial Access Brokers" (IABs) bewerben diese Dienste und zugehörige Produkte zunehmend auf spezialisierten Plattformen mit zahlreichen Nutzern. Datenbroker verteilen demnach ihre Aktivitäten auf mehrere Plattformen, um sich besser der Verfolgung entziehen zu können.

Auch Ende-zu-Ende-verschlüsselte Messenger haben die Strafverfolger auf dem Kieker. Sie würden zunehmend genutzt, "um Verkaufstransaktionen mit kompromittierten Daten auszuhandeln und durchzuführen sowie um persönliche Informationen von Opfern, einschließlich Kindern, weiterzugeben".

Der TÜV-Verband befragte Unternehmen zu ihrer Einschätzung der IT-Sicherheitslage – und die zogen ein optimistisches Fazit. Bei der Vorstellung der Umfrage in Berlin äußerte die BSI-Präsidentin Claudia Plattner deutliche Zweifel an dieser Selbsteinschätzung und warnte vor Sorglosigkeit.

15 Prozent der Firmen waren im vergangenen Jahr von konkreten IT-Sicherheitsvorfällen betroffen, bei denen Incident-Response-Teams tätig werden mussten, ergab eine Befragung von über 500 deutschen Unternehmen durch den TÜV-Verband. Und 91 Prozent der Unternehmen gaben zu Protokoll, dass sie bei der Cybersicherheit eher gut oder gar gut aufgestellt seien.

Dieses Ergebnis sieht die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit einiger Sorge: "Das ist ein Stück weit Wunschdenken", mahnte Claudia Plattner, "da sind wir nicht!". Die BSI-Erfahrungen aus dem Alltag sprächen regelmäßig eine ganz andere Sprache, ordnete Plattner die Umfrageergebnisse ein. Selbst beim "Seepferdchen" der IT-Sicherheit, Plattners Kosename für den Cyberrisiko-Check, fielen bei Unternehmen regelmäßig Probleme auf. Bei Betreibern kritischer Infrastrukturen gebe es ebenfalls, etwa beim Informationssicherheits- und Business Continuity Management (BCM) regelmäßig "deutlich Luft nach oben", auch wenn das BSI hier Verbesserungen sehe, so die Amtschefin.

Überrascht gaben sich TÜV-Verbandspräsident Michael Fübi und Claudia Plattner auch von einem anderen Ergebnis der Befragung: Gerade einmal 50 Prozent der Befragten wollen bislang überhaupt von der überarbeiteten Netzwerk- und Informationssicherheitsrichtlinie (NIS2) gehört haben. Die stellt neue Sicherheitskriterien für Betreiber kritischer Infrastrukturen auf und wird voraussichtlich fast 30.000 Unternehmen in Deutschland betreffen.

Das deutsche Umsetzungsgesetz der NIS2-EU-Richtlinie ist derzeit wieder in Arbeit. Nicht nur die EU macht Druck, auch die BSI-Präsidentin sprach sich zum wiederholten Male dafür aus, hier möglichst zügig voranzukommen. Mehr Sensibilität in Führungsetagen erhofft sich Plattner von der erweiterten Geschäftsführerhaftung, die mit der NIS2 kommt und Sorgfaltspflichten für Unternehmenslenker festschreibt.

Zwei unterschiedliche Sicherheitslücken in diversen UEFI-BIOS-Versionen mehrerer Anbieter ermöglichen die Umgehung des SecureBoot-Mechanismus. In UEFI-BIOSen von Insyde können Angreifer sogar die Firmware austauschen. Verwundbare Systeme lassen sich damit vollständig kompromittieren. Proof-of-Concept-Code dafür ist öffentlich verfügbar. Systemhersteller arbeiten an BIOS-Updates zum Schließen der Lücken.

In beiden nun bekannt gewordenen Fällen gehen die Schwachstellen auf den Missbrauch von nicht geschützten NVRAM-Variablen zurück. Die können Angreifer manipulieren, obwohl das UEFI-BIOS sie als vertrauenswürdig behandelt – was die Kompromittierung von Systemen ermöglicht.

UEFI-Firmware setzt sich aus mehreren Komponenten zusammen, die oftmals von mehreren Herstellern stammen. Wie das CERT in einer Sicherheitsmitteilung vom Dienstag dieser Woche erklärt, lässt sich aufgrund der Schwachstellen in den UEFI-Firmware-Apps "DTBios" und "BiosFlashShell" von DTResearch SecureBoot umgehen. "Die Schwachstelle entspringt der unsachgemäßen Handhabung einer Laufzeit-NVRAM-Variable, die beliebig geschrieben werden kann. Das kann kritische Firmware-Strukturen verändern, einschließlich des globalen Security2-Architektur-Protokolls, das die SecureBoot-Verifizierung verwendet. Da die betroffenen UEFI-Apps von der Microsoft UEFI-Zertifizierungsstelle signiert sind, kann diese Schwachstelle auf jedem UEFI-kompatiblen System ausgenutzt werden, sodass unsignierter Code während des Bootvorgangs ausgeführt werden kann", fasst das CERT das Problem zusammen (CVE-2025-3052 / EUVD-2025-17820, CVSS 8.2, Risiko "hoch").

Etwas konkreter lautet die Beschreibung, dass die Microsoft-signierten UEFI-Apps die NVRAM-Variable "IhisiParamBuffer" als Zeiger für Speicheroperationen einsetzt – einschließlich dem Überschreiben des globalen Sicherheitsparameters "gSecurity2". Dadurch lässt sich die Security2-Architektur-Protokoll-basierte Verifikation umgehen, die die LoadImage-Funktion zum Erzwingen von SecureBoot nutzt, und jedwede unsignierte UEFI-Binärdatei unabhängig von der SecureBoot-Einstellung des UEFI-Bios ausführen. Einige Implementierungen verriegeln die Variable "IhisiParamBuffer" früh im Boot-Prozess ("lock" der Variablen), wo das nicht stattfindet, lässt sich die Lücke jedoch missbrauchen. Die Entdecker der Schwachstelle von Binarly haben eine tiefergehende Analyse online gestellt. Microsoft hat 14 neue Hashes zu der DBX-Datenbank der "verbotenen Signaturen" hinzugefügt, die das Ausführen der verwundbaren UEFI-Apps unterbinden sollen. Abhilfe schaffen Software-Updates der Anbieter. Nach derzeitigem Kenntnisstand ist das DTResearch, die aktualisierte Komponenten "DTBios" und "BiosFlashShell" bereitstellt, insbesondere für die Insyde-BIOSse. Das CERT pflegt eine Liste mit betroffenen und nicht betroffenen Herstellern in der Sicherheitsmitteilung.

In einer Insyde H2O UEFI Firmware-App können Angreifer hingegen aufgrund unsicherer Nutzung einer NVRAM-Variable digitale Zertifikate einschleusen. Das CERT fasst in seiner Mitteilung die Details zusammen. Die Firmware-Apps betrachten die Variable "SecureFlashCertData" als vertrauenswürdigen Speicher für digitale Zertifikate in der Vertrauenskette. Angreifer können darin jedoch eigene Zertifikate ablegen und in der Folge beliebige Firmware laufen lassen, die damit zertifiziert ist – bereits im frühen BBoot-Prozessinnerhalb der UEFI-Umgebung (CVE-2025-4275 / EUVD-2025-18070, CVSS 7.8, Risiko "hoch"). Der Entdecker der Lücke hat ihr einen Spitznamen gegeben, "Hydroph0bia" als Wortspiel zu "Insyde H2O" (H2O als chemische Summenformel für Wasser). In seiner eigenen detaillierten Analyse stellt er auch Proof-of-Concept-Code (PoC) bereit, der den Missbrauch der Schwachstelle demonstrieren soll.

"Brass Typhoon" ist "Wicked Panda", und "Ghost Blizzard" entspricht "Berserk Bear": Diese und weitere eindeutige Namenszuordnungen von APT- und Cybercrime-Gruppen sind das erste sichtbare Resultat einer frisch ins Leben gerufenen Zusammenarbeit von Microsoft und CrowdStrike.

Ziel der Bemühungen ist ein vollständiger und in Bezug auf neue Bedrohungen jeweils möglichst zeitnaher Taxonomie-Abgleich der beiden Hersteller. Auch Googles Mandiant-Team sowie Palo Altos Unit 42 wollen sich laut Microsofts Ankündigung in Zukunft an der Kooperation beteiligen.

So weit der Plan. Aber was bringt der Abgleich eigentlich in der Praxis, und was können Sicherheitsverantwortliche mit den resultierenden Taxonomie-Mappings konkret anfangen? Wir ordnen die aktuelle Entwicklung ein, schauen uns den bisherigen Zwischenstand des Namensabgleichs an und checken, wie nützlich er bis hierhin ist.

Zunächst einmal ist festzuhalten, dass die Zusammenarbeit zwischen Microsoft und CrowdStrike nur auf einen systematischen Namensabgleich abzielt; an der unterschiedlichen Benennung der Cybercrime-Akteure durch die Firmen ändert sich auch in Zukunft nichts.

Dennoch stellt die Tatsache, dass sich zwei Hersteller zusammentun, um auf Basis gesammelter Bedrohungsinformationen gemeinsam klare Zuordnungen zu treffen, einen echten Fortschritt beim Entwirren des Cybercrime-Namenschaos dar. Denn bislang erfolgten Mappings der Herstellerbezeichnungen primär "von außen" – etwa durch das BSI oder im Rahmen der Wissensdatenbank MITRE ATT&CK. Offiziell von den betreffenden Unternehmen abgesegnet sind die Gleichsetzungen nicht. Deren Kooperation und der direkte Austausch lässt nun auf verlässlichere – und vor allem verbindliche – Namenszuordnungen hoffen.

Angreifer können an Sicherheitslücken in Adobe Acrobat, Commerce, Experince Manager, InCopy, InDesign, Substance 3D Painter und Substance 3D Sampler ansetzen. Im Rahmen des Juni-Patchdays stellt Adobe Updates zum Download bereit.

Den Großteil der Lücken stuft Adobe als kritisch ein. So können Angreifer etwa an einer Schwachstelle (CVE-2025-43573 / EUVD-2025-17828, CVSS 7.8, Risiko "hoch") in Acrobat und Reader unter macOS und Windows ansetzen, um auf einem nicht näher ausgeführten Weg Speicherfehler (Use After Free) auszulösen. Im Anschluss können sie Schadcode ausführen, was in der Regel zur vollständigen Kompromittierung eines Computers führt.

Auch Adobe Commerce und Magento Open Source sind für Schadcode-Attacken anfällig (etwa CVE-2025-47110 / EUVD-2025-17706, CVSS 9.1, Risiko "kritisch"). Zusätzlich können Angreifer hier Sicherheitsfunktionen umgehen (CVE-2025-43585 / EUVD-2025-17708, CVSS 8.2, Risiko "hoch").

Weiterführende Informationen zu den Sicherheitslücken und gepatchten Versionen finden Admins in den verlinkten Warnmeldungen: