Comretix Blog

Anfang August 2025 wurde das Mandala Bay Hotel in Las Vegas zum Treffpunkt der internationalen Security-Community. Im Rahmen der alljährlich stattfindenden Black-Hat-Konferenz kamen rund 20.000 Teilnehmer zusammen, um aktuelle Schwachstellen, spannende Security-Innovationen und künftige Cyberbedrohungen zu diskutieren. Unser Artikel stellt einige der diesjährigen Highlights vor und unternimmt zusätzlich einen Abstecher zu den auf der DEF CON verliehenen Pwnie Awards.

Malware und die Motivation ihrer Programmierer haben sich sehr gewandelt. Seien in den Anfängen vor allem Teenager am Werk gewesen, die einfach Spaß haben wollten, rückten ab etwa 2003 finanzielle Absichten in den Fokus, schilderte der finnische Computersicherheitsexperte Mikko Hypponen zum Auftakt der 28. Black Hat USA. Heute werde die Schadcode-Landschaft von Kriminellen dominiert, die ihre lukrativen Geschäfte immer rücksichtsloser abwickelten und sich laufend weiter professionalisierten.

Um das zu unterstreichen, zeigte Hypponen in seiner Keynote eine Art Werbespot der Ransomware-as-a-Service-Gang Global – mit durchdachtem Corporate Design und Einblicken in das schicke Nutzerinterface des Erpresserwerkzeugs. Ein spezielles Feature des Rundum-Sorglos-Erpresserpakets: ein KI-Assistent, der die Lösegeldverhandlungen übernimmt, damit Angreifer sich besser auf neue Opfer konzentrieren können.

Rückblick auf eine Welt überschaubarer Bedrohungen: Rund 150 Computerviren – einen Virus pro Diskette – sammelte und analysierte der IT-Security-Experte Mikko Hypponen zu Beginn seiner Karriere.

(Bild: Screenshot/blackhat.com)

Eigentlich sollen Passwort-Manager den Umgang mit vielen verschiedenen Passwörtern vereinfachen. Dazu bringen sie meist Browser-Erweiterungen mit, die Formularfelder mit Zugangsdaten automatisch befüllen können. Ein IT-Forscher hat eine Schwachstelle in den Browser-Erweiterungen diverser Passwort-Manager aufgedeckt, durch die bösartige Webseiten Zugangsdaten mit einer Clickjacking-Attacke abgreifen können.

Clickjacking-Angriffe sind eigentlich altbekannt. Dabei schieben Angreifer unsichtbare Elemente etwa vor Dialoge, und die Klicks der Besucher landen dann auf dem unsichtbaren Element und nicht in dem gewünschten Feld. Neu ist der DOM-basierte Angriff auf die Browser-Erweiterungen, den Marek Toth auf der Defcon 33 vorgestellt hat.

Den grundsätzlichen Angriff beschreibt Toth folgendermaßen. Zunächst muss eine bösartige Webseite ein Element aufweisen, das den Zugriff auf die Seite verwehrt, etwa ein Cookie-Banner, ein Captcha oder ähnliches. Die Webseite selbst benötigt ein Formular, etwa für persönliche Daten, wie ein Log-in. Für das Formular setzen Angreifer die Opacity (Deckkraft) auf 0.001, es wird dadurch unsichtbar. Mit der Funktion focus() wird nun das Formularfeld aktiviert, woraufhin das Dropdown-Menü zum Ausfüllen des Passwort-Managers erscheint. Neu ist nun, dass mit dem vorgestellten Angriff über das Document Object Model (DOM) das User-Interface der Browser-Erweiterung ebenfalls unsichtbar gemacht werden kann, indem die Deckkraft reduziert wird – hier passiert nun das DOM-basierte Clickjacking in der Browser-Erweiterung: Opfer klicken vermeintlich auf das Cookie-Banner oder Captcha und landen dabei auf dem unsichtbaren Dialog der Browser-Erweiterung. Die füllt die Formularfelder aus, die Angreifer gelangen an die Einträge im Formular.

Toth hat folgende Passwort-Manager untersucht: 1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords als Browser-Erweiterung, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass und RoboForm. Bei den Tests setzte Toth das manuelle Ausfüllen von Formularen durch die Passwort-Manager-Erweiterungen.

Bei den meisten Passwort-Managern können Angreifer nicht-Domain-spezifische Informationen wie Kreditkartendaten oder persönliche Daten wie Name, Telefonnummer, Anschrift und so weiter mit bösartig aufgesetzten Webseiten auslesen.

Zwar werden bereits in wenigen Wochen Apples große Upgrades auf iOS 26 und macOS 26 (Tahoe) erwartet, dennoch hat der Konzern nun noch einmal Aktualisierungen für die Vorversionen iOS 18, iPadOS 18 und macOS 15 (Sequoia) vorgelegt. Grund sind Sicherheitslücken in den Systemen, die laut Hersteller bereits aktiv ausgenutzt werden. Betroffen sind auch ältere iOS-Versionen, die Apple aber wie üblich nur teilweise patcht. Sonstige Neuerungen enthalten die Aktualisierungen nach Angaben des Unternehmens nicht.

Apple erwähnt in seinen Beipackzetteln für sicherheitsrelevante Veränderungen jeweils nur eine einzige Lücke: Einen Bug in der Bildverarbeitungsbibliothek Image I/O. Dazu heißt es, dass die Verarbeitung böswillig manipulierter Bilder zu einem Speicherfehler führen kann. "Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise in einem äußerst komplexen Angriff auf gezielt ausgewählte Personen ausgenutzt wurde." Das heißt in der Praxis, dass es sich wohl um staatliche Akteure handelte – oder Firmen, die diese unterstützten.

Wer von dem Angriff betroffen war, teilte Apple nicht mit. Der Konzern nennt sich selbst als Entdecker der Lücke, die die CVE-ID CVE-2025-43300 trägt. Der Fehler wurde behoben, indem ein Out-of-Bounds-Schreibproblem behoben wurde – durch verbessertes Bounds-Checking. Der Bug könnte Teil einer ganzen Exploit-Kette sein, bei der Image I/O wahrscheinlich als Einfallstor verwendet wird – beispielsweise über den Versand eines manipulierten Bildes via iMessage. Technische Details fehlen jedoch noch – ob Apple diese zu einem späteren Zeitpunkt kommuniziert, bleibt offen.

Der ausnutzbare Fehler steckt interessanterweise offenbar nur in macOS, iPadOS und iOS – zumindest hat Apple bislang keine Aktualisierungen für seine anderen Betriebssysteme watchOS, visionOS und tvOS vorgelegt, obwohl auch diese die Image-I/O-Bibliothek enthalten. tvOS hat keine eigene Nachrichten-App, visionOS und watchOS hingegen schon. Die jeweils aktuellen Version sind nun iOS 18.6.2 und iPadOS 18.6.2 sowie macOS 15.6.1. Auf einem Test-Mac war die Aktualisierung mit 1,5 GByte ziemlich mächtig, könnte also auch noch andere Neuerungen enthalten. Warum Apple für einen ausgenutzten Fehler sein dafür geeignetes Rapid-Security-Response-System nicht nutzt, bleibt unklar.

Nutzer älterer macOS- und iPadOS-Versionen erhalten ebenfalls Updates, iOS-17-Nutzer müssen auf iOS 18 aktualisieren. Aktuell sind nun iPadOS 17.7.10, macOS 13.7.8 Ventura und macOS 14.7.8 Sonoma. Einzige von Apple kommunizierte Änderung ist die Behebung des Image-I/O-Bugs.

Angreifer können Systeme attackieren, auf denen Firefox oder Thunderbird installiert ist. Davon ist auch die iOS-Version von Firefox betroffen. Sicherheitsupdates schließen unter anderem Schadcode-Lücken.

Im Sicherheitsbereich der Mozilla-Website sind die jüngst geschlossenen Schwachstellen aufgelistet. Unklar bleibt, welche Betriebssysteme konkret betroffen sind. Gegen mögliche Attacken sind die folgenden Ausgaben abgesichert:

Angreifer können im Kontext der Audio/Video-GMP-Komponente auf einem nicht näher ausgeführten Weg einen Speicherfehler auslösen und so aus der Sandbox ausbrechen. Die Sicherheitslücke (CVE-2025-9179) ist mit dem Bedrohungsgrad "hoch" eingestuft. Sie betrifft Firefox und Thunderbird.

Darüber hinaus kann über weitere Speicherfehler (CVE-2025-9185 "hoch") Schadcode auf Systeme gelangen. Im Anschluss gelten Computer in der Regel als vollständig kompromittiert. Unter iOS sind unter anderem XSS-Attacken vorstellbar (CVE-2025-55032 "hoch").

Bislang gibt es noch keine Informationen über laufende Attacken. Unklar bleibt bislang auch, woran man bereits erfolgreich attackierte Systeme erkennen kann. Nutzer sollten sicherstellen, dass sie eine gegen die geschilderten Attacken abgesicherte Version installiert haben.

In der Container-Software Docker Desktop können Angreifer aus bösartigen Containern auf die Docker-Engine und in der Folge auf das Dateisystem des Host-Systems zugreifen. Aktualisierte Software steht bereit, um die Sicherheitslücke zu schließen.

In der Versionsankündigung fasst Docker knapp zusammen: Bösartige Container, die in Docker Desktop laufen, können auf die Docker-Engine zugreifen und weitere Container starten, ohne, dass der Docker-Socket gemountet sein müsste. Dies kann unautorisierten Zugriff auf Nutzerdateien im Host-System ermöglichen, Enhanced Container Isolation (ECI) richtet nichts gegen diese Schwachstelle aus (CVE-2025-9074 / EUVD-2025-25308, CVSS 9.3, Risiko "kritisch").

Die Schwachstellenmeldung selbst geht weiter ins Detail. Lokal laufende Linux-Container können die Docker-Engine-API über das konfigurierte Subnetz erreichen, standardmäßig unter 192.168.65.7:2375. Die Schwachstelle tritt unabhängig davon auf, ob Enhanced Container Isolation (ECI) aktiviert oder wie die Option "Expose daemon on tcp://localhost:2375 without TLS" konfiguriert wurde. Dadurch lassen sich eine Reihe an privilegierten Befehlen an die Docker-Engine-API ausführen, einschließlich der Kontrolle anderer Container, Erstellen neuer Container, Verwalten von Images und so weiter. Unter Umständen, etwa wenn Docker Desktop für Windows mit WSL-Backend läuft, erlaubt das auch das Mounten des Hostlaufwerks mit den Rechten des Nutzerkontos, in dem Docker Desktop läuft.

Um das zu verhindern, sollten IT-Verantwortliche auf Docker Desktop 4.44.3 oder neuer aktualisieren. Darin haben die Entwickler die sicherheitsrelevanten Fehler ausgebügelt.

Die aktualisierten Docker-Pakete stehen direkt zum Herunterladen bereit:

Neue Tricksereien mit QR-Codes melden Sicherheitsforscher von Barracuda. Die Angriffe kommen per E-Mail und umgehen viele der in großen Unternehmen üblichen Sicherheitsscans. Liest der Endnutzer seine E-Mails dann auch noch mit aktivierter HTML-Darstellung, wird er leicht zum Opfer.

QR-Codes (quick response codes) sind bei Verbrechern beliebt, weil sich darin Hyperlinks kodieren lassen, die Menschen nicht lesen können. Damit lassen sich leichter falsche Hyperlinks unterjubeln. Unter einem Vorwand werden die Zielpersonen dazu gebracht, den Code einzuscannen; flugs landen sie auf einer vom Angreifer kontrollierten Webseite. Diese Methode wird so häufig für das Ernten fremder Zugangsdaten genutzt (Phishing), dass es für Phishing mit QR-Code einen eigenen Begriff gibt: Quishing.

Eine verblüffend einfache Methode besteht darin, einen irreführenden QR-Code in zwei (oder mehr) Teile zu teilen. Diese Bilddateien werden beispielsweise einem Phishing-Email angehängt. Sicherheitssysteme versuchen in der Regel, die Bilddateien einzeln auszuwerten, finden in den einzelnen QR-Schnipseln aber nichts Verwertbares und lassen die gefährliche Nachricht passieren.

Veranschaulichung eines zweigeteilten QR-Codes. Ist jede Hälfte eine eigene Bilddatei, lässt sich der QR-Code schlecht automatisiert überprüfen, aber leicht mittels HTML zusammensetzen.

(Bild: Barracuda)

Wer einen Tesla fährt, kann umfangreich Daten des Fahrzeugs sammeln und auswerten. Das gelingt etwa mit dem Open-Source-Projekt TeslaMate. Ein IT-Forscher hat nun hunderte offenstehende Instanzen im Netz gefunden, die diese Daten aller Öffentlichkeit preisgeben.

Aufgefallen ist der fehlende Zugriffsschutz Seyfullah Kılıç, der in einem Blog-Beitrag darüber berichtet. Das quelloffene Tool TeslaMate steht auf Github zum Herunterladen bereit. Es erlaubt, die Daten des eigenen Fahrzeugs zu sammeln und speichert diese in einer Postgres-Datenbank. Die Daten können mit Grafana visualisiert und analysiert sowie an lokale MQTT-Broker verteilt werden. Das ermöglicht die Aufbereitung, etwa mit Home Assistant.

Zu den Daten, die TeslaMate verwaltet, gehören unter anderem Fahrtendaten mit automatischen Adressnachschlagen, Ladestand und Zustand des Akkus. Das Projekt listet auf Github noch diverse Standard-Dashboards zu weiteren Daten auf, die damit einsehbar sind.

Das Problem, auf das Kılıç gestoßen ist, liegt im Selbsthosting von TeslaMate. Die Software enthält standardmäßig keinen Zugriffsschutz und erlaubt allen Zugriff auf die Daten. Dadurch können Unbefugte etwa den Standort einsehen – daraus lässt sich gegebenenfalls ableiten, ob ein Tesla zuhause oder im Büro ist. Etwa für Angreifer wie Einbrecher jedoch sehr nützlich.

TeslaMate stellt standardmäßig auf Port 4000 ein Web-Interface bereit und auf Port 3000 ein Grafana-Dashboard. Das verlockt Nutzerinnen und Nutzer offenbar dazu, Instanzen auf Cloud-Servern zu hosten oder heimische Installationen ins Internet durchzureichen. Mit einer Suche nach offenen TCP-Ports 4000 und der Abfrage des Standard-HTTP-Titel von TeslaMate über das Internet stieß der IT-Sicherheitsforscher auf hunderte offene Instanzen, die diese eher persönlichen Informationen aller Welt preisgeben.

Bei Infoniqa, einem Software- und Dienstanbieter für den HR-Bereich, kam es Anfang des Monats zu einem IT-Vorfall. Jetzt meldet sich die Cybergang "Warlock" im Darknet und reklamiert den Einbruch für sich. Sie will große Mengen teils sensibler Daten entwendet haben.

Ein Countdown auf der Untergrund-Webseite der kriminellen Vereinigung zeigt eine Laufzeit von etwas mehr als zwei Tagen an. Eine Schaltfläche "View Data" ist derzeit (noch) funktionslos.

Die Cybergang "Warlock" will Daten bei Infoniqa erbeutet haben. Das behauptet sie im Darknet.

(Bild: heise medien)

Der Info-Kachel zufolge haben die Mitglieder der Bande bei Infoniqa 165 GByte an Daten kopiert. Darunter sollen sich interne Dokumente, Finanzdokumente, Mitarbeiter-Informationen, die CRM-Datenbank, die HR-Datenbank sowie eine SaaS-Datenbank befinden.

Die Betreiber des Python Package Index (PyPI) gehen gegen Domain-Hijacking vor, um Lieferkettenangriffe zu erschweren. Dabei prüft das beliebte Python-Paketverzeichnis die Domains von Mail-Adressen der User-Accounts regelmäßig darauf, ob die Domänen noch einen Besitzer haben. Wenn nicht, wird dem Account die Verifizierung entzogen, was bereits über 1800 Mal der Fall war.

Mit diesem Verfahren verhindert PyPI, dass Angreifer eine aufgegebene Domain übernehmen, die E-Mail-Adresse des vorherigen Nutzers einrichten, bei PyPI das Passwort des mit der Mail-Adresse verbundenen Accounts zurücksetzen und sich einloggen. Dann haben sie Zugriff auf die dort veröffentlichten Python-Pakete und können Schadcode in diese einbauen, den andere Nutzer unbedarft installieren. Als Beispiel für einen derartigen Lieferkettenangriff nennt der Python-Blog das Hijacking des ctx-Pakets 2022, das andere User 27.000 Mal heruntergeladen haben.

Für die Prüfung nutzt PyPI die Karenzzeit von dreißig Tagen, in die Domains nach der Löschung gehen: die Redemption Grace Period (RGP). Dieser Status ist öffentlich gekennzeichnet, was PyPI nun täglich checkt und den betroffenen Mail-Adressen die Verifikation entzieht. Das bedeutet, dass Nutzer nicht einfach ein Passwort zurücksetzen können, sondern zusätzliche Belege vorlegen müssen, beispielsweise einen zweiten Faktor – wenn eingerichtet – oder eine Mitgliedschaft in anderen, nicht näher spezifizierten Diensten ("via other services under the user's control").

In der Ankündigung schreibt PyPI, dass bei der initialen Prüfung im Juni 1500 Adressen die Verifikation verloren haben. Ausdrücklich nicht betroffen sind Domains, die regulär den Besitzer wechseln und nicht in eine Karenzzeit gehen.

PyPI entzieht täglich Mail-Adressen die Verifizierung (hier im Bild ohne die 1500 von der initialen Prüfung).

In der Backupsoftware Commvault klaffen Sicherheitslücken, die Angreifern unter anderem das Einschleusen von bösartigem Code ermöglichen. Der Hersteller stellt Aktualisierungen bereit, die die Schwachstellen ausbessern.

Die schwerwiegendste Schwachstelle ist vom Typ Path Traversal und erlaubt Angreifern unautorisierte Zugriffe aufs Dateisystem. Das könne zur Ausführung von Schadcode aus dem Netz führen (CVE-2025-57790 / EUVD-2025-25256, CVSS 8.7, Risiko "hoch"). Angreifer benötigen dazu aber zumindest minimale Rechte im System.

Aufgrund unzureichender Überprüfungen können Angreifer aus dem Netz zudem Kommandozeilen-Parameter einschleusen oder manipulieren, die an interne Komponenten durchgereicht werden (CVE-2025-57791 / EUVD-2025-25255, CVSS 6.9, Risiko "mittel"). Nicht authentifizierte bösartige Akteure aus dem Netz können außerdem API-Aufrufe ausführen, ohne Zugangsdaten anzugeben. Diese Schwachstelle betrifft einen "bekannten Log-in-Mechanismus". Rollenbasierte Zugriffskontrollen (RBAC) sollen die Angriffsfläche einschränken, jedoch das Risiko nicht eliminieren können (CVE-2025-57788 / EUVD-2025-25258, CVSS 6.9, Risiko "mittel").

Nach der Installation stellt Commvault einen Log-in mit Standard-Zugangsdaten bereit. Dies müssen Admins beim ersten Log-in ändern. In dem Zeitraum dazwischen können Angreifer diese Standard-Zugangsdaten jedoch missbrauchen – allerdings können zu diesem Zeitpunkt noch keine Backup-Jobs angelegt sein (CVE-2025-57789 / EUVD-2025-25257, CVSS 5.3, Risiko "mittel").

Die Sicherheitslücken stopfen die Versionen Commvault für Linux und Windows 11.32.102 sowie 11.36.60 und neuere. Die als "Software as a Service" (SaaS) bereitgestellten Fassungen hat der Hersteller bereits selbst gepatcht, hier müssen Admins nicht weiter aktiv werden.

Mozilla führt CRLite in Firefox ein: Das System dient zum Widerrufen von Zertifikaten und soll zu einer sichereren Internetkommunikation beitragen. Websites nutzen HTTPS-Zertifikate, um die Identität zu bestätigen und eine verschlüsselte Verbindung zu gewährleisten. Wird ein solches Zertifikat missbräuchlich ausgestellt oder kompromittiert, muss es umgehend widerrufen werden. Bisherige Verfahren, etwa die Online-Prüfung per OCSP oder CRL-Downloads, haben bekannte Schwächen: Sie bremsen Seitenladezeiten aus, können die Privatsphäre der Nutzer verletzen, indem sie Seitenaufrufe an Dritte preisgeben, und waren nie wirklich vollständig, da stets nur ein Teil der weltweit widerrufenen Zertifikate überprüft wurde.

Mit CRLite entfällt jetzt die Notwendigkeit, während des Surfens auf externe Dienste zuzugreifen. Stattdessen sammelt und speichert das System Informationen zu sämtlichen widerrufenen Zertifikaten lokal im Browser. Ein Komprimierungsverfahren sorgt dafür, dass täglich circa 300 KByte an Daten aktualisiert werden müssen, damit Firefox immer auf dem neuesten Stand bleibt. Ziel ist also, dass das System ressourcenschonend bleibt, bei gleichzeitig stets aktuellen Sicherheitsinformationen. Die besondere Stärke von CRLite liegt in seiner Vollständigkeit: Während andere Browser bisher nur eine Auswahl der wichtigsten oder bekanntesten Zertifikate lokal prüfen konnten, verwaltet Firefox mit CRLite alle weltweit widerrufenen Zertifikate und kann somit betrügerische oder kompromittierte Seiten zuverlässig erkennen und blockieren.

Mozilla betont, dass mit CRLite nicht nur die Sicherheit steigt, sondern auch die Privatsphäre geschützt bleibt, da keine Anfragen mehr an externe Dienste gestellt werden. Überdies profitieren Nutzer von schnelleren Ladezeiten, da die Gültigkeitsprüfung direkt auf dem Gerät erfolgt. Mozilla sieht CRLite als Zukunft für das gesamte Web und hofft, dass auch andere Browser das System übernehmen.

Mehr Details finden sich in der Ankündigung von Mozilla und auf der Hacks-Seite von Mozilla. CRLite ist Teil von Firefox 142 – das Update umfasst für Anwender die Link-Vorschau und ermöglicht erstmals LLM-Erweiterungen.

Ein 22-Jähriger aus dem US-Bundesstaat Oregon wird beschuldigt, eines der bislang stärksten Botnets entwickelt und betrieben zu haben. Das hat die Staatsanwaltschaft von Alkas jetzt mitgeteilt, wo der Fall gelandet ist. Die erklärt, dass der Beschuldigte die Dienste von "Rapper Bot" gegen Geld angeboten habe. Mithilfe von 65.000 bis 95.000 infizierten Geräten habe das Botnet seit 2021 regelmäßig DDoS-Attacken mit 2 bis 3 Terabit pro Sekunden (TBit/s) ausgeführt. Der stärkste Angriff des Botnets könnte demnach sogar 6 TBit/s übertroffen haben. So angegriffene Seiten gehen offline, der unerwünschte Traffic kann für die Betreiber teuer werden. Auch Schutzmaßnahmen gegen solche Angriffe kosten viel Geld. Die Wohnung des Beschuldigten wurde am 6. August durchsucht, das Botnet sei aus dem Verkehr gezogen worden.

Während die Staatsanwaltschaft lediglich auflistet, dass das Botnet gegen Ziele in mehr als 80 Staaten, ein Netz der US-Regierung, ein populäres soziales Netzwerk und viele Tech-Firmen gerichtet wurde, werden andere genauer. Der Sicherheitsforscher Brian Krebs schreibt, dass "Rapper Bot" für massive Ausfälle beim Kurznachrichtendienst X Anfang März verantwortlich gewesen sein soll. Hauptsächlich soll das Botnet aber gegen Internetportale gerichtet worden sein, die dafür bezahlen sollten, nicht mehr ins Visier zu gelangen. Unter anderem Wettportale aus China seien so angegriffen worden. Krebs selbst sei von "Rapper Bot" nicht attackiert worden, die Verantwortlichen hätten die Strafverfolgungsbehörden nicht auf den Plan rufen wollen.

Das Botnet des jetzt 22-Jährigen setze sich laut der Staatsanwaltschaft aus digitalen Videorekordern, WLAN-Routern und ähnlichen Geräten zusammen, die mit spezialisierter Malware übernommen wurden – also ein IoT-Botnet. Es habe sich um das leistungsfähigste und ausgeklügelteste Botnet gehandelt, dessen Dienste man habe kaufen können. Ein nur 30 Sekunden dauernder Angriff damit könnte die jeweiligen Opfer zwischen 500 und 10.000 US-Dollar kosten, heißt es noch. Laut Krebs hat der jetzt Beschuldigte mit einer weiteren Person zusammengearbeitet. Beide hätten die Einnahmen zu gleichen Teilen zwischen sich aufgeteilt. Sollte der Beschuldigte aus Oregon schuldig gesprochen werden, droht ihm eine Höchststrafe von 10 Jahren, schreibt die Staatsanwaltschaft weiter. Krebs hält so viel aber für unwahrscheinlich.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Microsoft hat einige Probleme mit den Windows-Updates zum August-Patchday eingeräumt. Nun stellt das Unternehmen ein Update außerhalb der regulären Termine bereit, das den noch vorhandenen Fehler korrigiert, das die Funktion zum Zurücksetzen oder Wiederherstellen betrifft.

Darauf weist Microsoft unter anderem im Message Center der Windows Release Health-Notizen hin. "Microsoft hat ein Problem entdeckt, durch das das Zurücksetzen oder Wiederherstellen von Windows-Geräten fehlschlagen kann. Das Problem lässt sich nach Installation der Windows-Sicherheitsupdates aus dem August 2025 bei einigen Client-Versionen von Windows beobachten", fassen die Entwickler aus Redmond das Problem zusammen.

"Ein nicht-sicherheitsrelevantes Update außer der Reihe (Out of Band, OOB) wurde heute, am 19. August 2025, veröffentlicht, um dieses Problem anzugehen", erklärt Microsoft weiter. Es handelt sich um ein kumulatives Update, sodass keine anderen Updates zuvor angewendet werden müssen. Es ersetzt die vorherigen Updates für die betroffenen Versionen. "Sofern Sie das Windows-Sicherheitsupdate aus dem August 2025 noch nicht installiert haben, empfehlen wir, dieses OOB-Update stattdessen zu installieren. Sofern Ihr Gerät von dem Problem nicht betroffen ist, müssen Sie das OOB-Update nicht installieren", erörtern die Entwickler. Über die Einordnung, dass die Wiederherstellung und Zurücksetzen von Windows nicht sicherheitsrelevant seien, lässt sich sicherlich streiten.

Für die einzelnen betroffenen Windows-Versionen stellt Microsoft jeweils eigene, aktualisierte Updates zur Verfügung. Den Erklärungen in den Support-Einträgen zufolge stehen die Updates etwa als optionale Updates in der integrierten Windows-Update-Suche zur Verfügung.

Außerdem gibt es die aktualisierten Update-Dateien in Windows Update für Business sowie im Windows-Update-Katalog. Für die WSUS-Dienste stehen sie hingegen offenbar nicht bereit. Die Ausnahme bilden die 2019er-Versionen von Windows 10, die Updates stellt Microsoft dafür ausschließlich im Windows-Update-Katalog bereit.

Nach der Cyber-Attacke auf Berlins Justizsenatorin Felor Badenberg (CDU) werden Forderungen nach mehr Schutz laut. Der Angriff habe der Berliner Landesregierung als Verfassungsorgan gegolten, sagte der innenpolitische Sprecher der SPD, Sebastian Fiedler, dem Tagesspiegel. "Wir befassen uns gerade damit, wie wir den Schutz weiter ausbauen können." Nötig seien auch zusätzliche Befugnisse und Fähigkeiten der Kriminalpolizei im Bund und der Länder sowie der Nachrichtendienste.

Nach derzeitigem Erkenntnisstand ist es laut Senatsverwaltung für Justiz zu einem gezielten Angriff auf einen Arbeitsplatzrechner im Leitungsbereich des Hauses gekommen. Dabei seien auch personenbezogene Daten entwendet worden. Dazu zählten E-Mails von und an Personen, die mit dem Leitungsstab der Senatsverwaltung seit dem 1. Februar 2023 in Kontakt standen. Auch der digitale Kalender von Badenberg, in dem ihre Termine und Gesprächspartner vermerkt sind, soll dazu gehören.

Nach Angaben der Senatsjustizverwaltung ist von dem Cyberangriff ein einzelner Rechner betroffen, von dem Daten abgeflossen seien. "Bisher wurden auch keine weiteren Fälle von schädlichem Datenverkehr festgestellt", sagte eine Sprecherin. "Auch externe IT-Systeme sind nach bisherigem Stand nicht betroffen." Die Senatsverwaltung sei weiter vollumfänglich arbeitsfähig. Vermutet wird, dass iranische Hacker hinter dem Angriff stecken könnten. Senatorin Badenberg hat iranische Wurzeln.

"Es gibt viele ausländische Akteure, vor denen wir uns schützen müssen", sagte SPD-Politiker Fiedler. "Neben Russland sind das selbstverständlich auch die Iranischen Revolutionsgarden, die bekannt für die Fähigkeiten sind, die sie im Bereich der Cyberangriffe aufgebaut haben. Insoweit überrascht es nicht, dass der Verdacht auf sie fällt."

Angesichts der iranischen Wurzeln von Badenberg und ihres politischen Werdegangs zeigte sich Peter Neumann, Professor für Sicherheitsstudien am King's College in London, wenig überrascht. Die iranische Diaspora sei immer schon im Visier des iranischen Geheimdienstes gewesen, sagte Neumann dem Tagesspiegel.

Berichte machen derzeit die Runde, dass es bei Paypal zu einem massiven Datenabfluss gekommen sei. In einem Untergrundforum verkauft ein Krimineller mit dem Handle "Chucky_BF" angeblich rund 15,8 Millionen Zugangsdaten zu Paypal – einschließlich Klartext-Passwörtern.

In einem Untergrundforum bietet der Hehler die Zugangsdaten zu Paypal an.

(Bild: heise medien)

Die Daten sollen einen Umfang von 1,1 GByte haben und die Log-in-E-Mail-Adressen, Klartextpasswörter sowie verknüpfte URLs enthalten. Dazu gehören API-Endpunkte und URLs wie /signin und /signup. Ordentlich sortiert scheinen die Daten nicht zu sein, denn "Chucky_BF" räumt ein, dass Varianten davon Paypal-Links mit eingebetteten Zugangsdaten umfassen sowie länderspezifische Domains oder Mobil-Formate. Sie seien jedoch "ein hohes Risiko für Credential Stuffing, Phishing oder Betrugskampagnen", bewirbt der Täter sein Angebot. Das behauptete Datum des Datenlecks war am 6. Mai dieses Jahres.

Auf X ordnet Troy Hunt, der das Have-I-Been-Pwned-Projekt betreibt, das Datenleck ein. An Paypal selbst als Ursprung glaubt er nicht.

In der Remote-Monitoring-und-Management-Software (RMM) N-central von N-able wurden zwei Sicherheitslücken entdeckt, die Angreifern das Einschleusen von Befehlen ins Betriebssystem respektive das Ausführen von eingeschmuggelten Schadcode erlauben. Diese werden bereits im Internet angegriffen. IT-Forscher sehen noch mehr als tausend ungepatchte N-central-Instanzen, darunter auch viele in Deutschland.

Tiefgehende Details nennt N-able in den Schwachstelleneinträgen nicht. Zum einen können Angreifer lokal beliebigen Code ausführen, da N-central nicht vertrauenswürdige Daten deserialisiert (CVE-2025-8875 / EUVD-2025-24823, CVSS 9.4, Risiko "kritisch"). Zum anderen filtert N-central Benutzereingaben nicht ausreichend, sodass bösartige Akteure Befehle ans Betriebssystem einschleusen können (CVE-2025-8876 / EUVD-2025-24822, CVSS 9.4, Risiko "kritisch").

Die US-amerikanische IT-Sicherheitsbehörde CISA hat in der vergangenen Woche die Sicherheitslücken in den "Known Exploited Vulnerabilities"-Katalog aufgenommen. Wie die Angriffe aussehen, ist derzeit unklar, auch der Umfang und das Ausmaß verrät die CISA nicht.

Die Sicherheitslecks stopft N-able mit dem Update auf N-central 2025.3.1. Der Hersteller schweigt sich in der Versionsankündigung – darin enthalten auch der Download-Link auf die Aktualisierung – zu den laufenden Attacken aus, ergänzt jedoch den Hinweis, dass eine Authentifizierung zum Missbrauch der Schwachstellen nötig sei. Aufgrund des hohen Schweregrads scheint das jedoch eine einfach zu erklimmende Hürde zu sein.

Die Shadowserver Foundation hat am Wochenende eine Auswertung der Internet-Scans auf X veröffentlicht. Demnach waren am vergangenen Freitag 1077 IP-Adressen für die Schwachstellen CVE-2025-8875 und CVE-2025-8876 anfällig.

Bei der US-Tochter Allianz Life der Allianz-Versicherung gab es im Juli einen großen Datendiebstahl. Cyberkriminelle erbeuteten eine Datenbank mit persönlichen Daten der Kunden. Nun sind die Daten auch beim Have-I-Been-Pwned-Projekt (HIBP) gelandet. Hier können Interessierte prüfen, ob ihre Daten etwa in diesem Datenleck enthalten waren.

Der Einbruch fand bereits im vergangenen Monat statt, die Allianz taxiert ihn auf den 16. Juli dieses Jahres. Ein Unternehmenssprecher sagte dazu, dass es sich um eine Datenbank mit Informationen über Kunden handele. Die Angreifer hätten ihm zufolge mithilfe von Social-Engineering-Technik personenbezogene Daten "der meisten Kunden von Allianz Life, Finanzfachleute und ausgewählte Mitarbeiter von Allianz Life abrufen" können.

Troy Hunt, der HIBP betreibt, führt das Datenleck auf derzeitige Angriffe auf Salesforce zurück. Er schreibt zu den nun hinzugefügten Daten von Allianz Life, dass die Angreifer an 1,1 Millionen einzelne E-Mail-Adressen, Namen, Geschlecht, Geburtsdaten, Telefonnummern und Anschriften gelangen konnten. Auf der Hauptseite von HIBP können Interessierte prüfen, in welchen Datenlecks ihre E-Mail-Adresse aufgetaucht ist.

Ende Juli machte Allianz Life keine Angaben dazu, wie viele Kunden von dem Datenabfluss betroffen sind – hier schafft Hunts HIBP nun Klarheit. Da Allianz Life seine Produkte ausschließlich in den USA anbietet, dürften jedoch so gut wie keine deutschen Kunden betroffen sein. Das Unternehmen gibt jedoch an, 1,4 Millionen Kunden in den USA zu haben – unklar bleibt, woher die Differenz zu den 1,1 Millionen kopierten Datensätzen kommt.

Die Allianz Life hat in den USA die zuständigen Behörden eingeschaltet und arbeitet mit den Strafverfolgern vom FBI zusammen. Angaben dazu, ob die Angreifer eine Lösegeldforderung gestellt haben, machte das Unternehmen hingegen nicht.

Acht Sicherheitslücken bedrohen die cloudbasierte Patchmanagementplattform HCL BigFix SaaS Remediate. Angreifer können die Anwendung unter anderem abstürzen lassen.

Über die Patchmanagementplattform halten Admins unter anderem verwaltete Endpoints auf dem aktuellen Stand.

Aus einer Warnmeldung geht hervor, dass eine Lücke (CVE-2025-7783) als "kritisch" gilt. Unter bestimmten Bedingungen können Angreifer Anfragen an interne Systeme manipulieren. Was das für konkrete Auswirkungen haben kann, geht aus der Beschreibung der Schwachstelle nicht hervor.

Für eine weitere Lücke (CVE-2025-7338) gilt der Bedrohungsgrad "hoch"). An dieser Stelle können Angreifer über präparierte Upload-Anfragen DoS-Zustände herbeiführen. Das führt in der Regel zu Abstürzen von etwa Softwarediensten.

Für die verbleibenden Sicherheitslücken gilt der Bedrohungsgrad "mittel". An diesen Stellen können Angreifer nach erfolgreichen Attacken etwa auf eigentlich geschützte Systemdaten zugreifen.

Bereits vor zwei Wochen hat Trend Micro eine Warnung vor einer in freier Wildbahn attackierten Sicherheitslücke in der On-Premises-Version der Apex One Management Console veröffentlicht. Jetzt reagiert auch die US-amerikanische Cybersicherheitsbehörde CISA und nimmt die als "kritisches Risiko" eingestufte Schwachstelle in den "Known Exploited Vulnerabilitites"-Katalog (KEV) auf. Trend Micro hat zum Wochenende außerdem einen finalen Patch nachgelegt, der die zugrundeliegenden Fehler korrekt ausbessert und die "Remote-Install-Agent"-Funktion wiederherstellt.

In der Sicherheitsmitteilung von Trend Micro erörtern die Antivirenspezialisten, dass das vorläufige Fix-Tool bereits am 6. August eine erste Aktualisierung erhalten hatte, da die Installation der Ursprungsfassung in einigen Nicht-Standard-Konfigurationen fehlschlug. Seit dem Wochenende steht nun jedoch der finale Patch bereit, der bei Trend Micro auf der Apex-One-Downloadseite heruntergeladen werden kann.

Auf dem Reiter "Product Patch" steht nun die Datei apexone-sp1-win-en-criticalpatch-b14081.exe bereit, die auf Apex One Service Pack 1 angewendet werden sollte. Die Build-Version steigt damit auf 14801.

Die Sicherheitslücke ermöglicht "pre-authenticated" Angreifern aus dem Netz, bösartigen Code hochzuladen und Befehle auf verwundbaren Instanzen auszuführen; der Schwachstellentyp lautet "OS Command Injection", also Einschleusen von Befehlen ans Betriebssystem. Die Lücke hat zwei CVE-Einträge erhalten, die jeweils für unterschiedliche Prozessorarchitekturen gelten. Ins Detail geht Trend Micro jedoch nicht, wie sich die Lücke etwa missbrauchen oder woran sich Angriffsversuche erkennen lassen (CVE-2025-54987/EUVD-2025-23620, CVE-2025-54988/EUVD-2025-23621, CVSS 9.4, Risiko "kritisch").

Vor etwa zwei Wochen wurde die Sicherheitslücke in der Verwaltungsoberfläche bekannt. Den Entwicklern zufolge ist Trend Micro Apex One (On-Premise) 2019 bis einschließlich Management Server Version 14039 davon betroffen. Der zunächst veröffentlichte Patch "FixTool_Aug2025" wurde jedoch als vorläufig eingestuft, da die Remote-Install-Funktion davon abgewürgt wurde.

Im Streit um eine von der britischen Regierung gesetzlich geforderte Hintertür für iCloud gibt es zumindest mit Washington nun eine Einigung. Das teilte Tulsi Gabbard, die in der Trump-Administration als Director of National Intelligence, also Geheimdienstkoordinatorin, dient, auf X mit. Seit einigen Monaten habe man "eng mit unseren Partnern in Großbritannien" gearbeitet, "um sicherzustellen, dass die privaten Daten der Amerikaner privat bleiben und unsere verfassungsmäßigen Rechte und bürgerlichen Freiheiten geschützt bleiben". Präsident Trump und Vizepräsident J.D. Vance seien eingebunden gewesen.

Das Ergebnis sei, dass das Vereinigte Königreich seine Anordnung an Apple fallen gelassen habe, eine "Back Door" in seine Systeme (konkret: iCloud) zur Verfügung zu stellen. Laut Gabbard hätte diese dafür gesorgt, dass Großbritannien auf "geschützte verschlüsselte Daten amerikanischer Bürger" hätte zugreifen können, ein Eingriff in deren "Civil Liberties". Gabbard machte zunächst keine Angaben dazu, wie der Deal konkret aussieht und ob es eine Gegenleistung dafür gibt.

Zuvor hatte es massive diplomatische Verstimmung zwischen Washington und London um die mögliche iCloud-Hintertür gegeben. Sie sollte im Rahmen des britischen Schnüffelgesetzes UK Investigatory Powers Act umgesetzt werden, das auch die sozialdemokratische Regierung von Keir Starmer weiterverfolgt. Apple hatte zunächst nicht einmal öffentlich zugeben können, von dem Gesetz betroffen zu sein, da die Anordnung geheim ist, dann aber versucht, sich juristisch zu wehren. US-Präsident Trump hatte Großbritanniens Pläne mit denen von China verglichen. "Das geht nicht", sagte er.

Der britische Ministerpräsident Starmer war am Montag in Washington, um zusammen mit weiteren europäischen Staatsspitzen sowie dem ukrainischen Präsidenten Selensky über einen Frieden im Ukraine-Krieg zu verhandeln. Einen Kommentar der britischen Regierung zu Gabbards X-Statement gab es nicht. Eine Sprecherin teilte gegenüber der Nachrichtenagentur Reuters nur mit, die Regierung werde "stets alle notwendigen Maßnahmen im Inland" ergreifen, damit britische Bürger sicher blieben. Auch Apple reagierte auf Nachfrage zunächst nicht.

Der Konzern hatte zuletzt seine Verschlüsselungsfunktion Advanced Data Protection (ADP) für iCloud für britische Kunden abgeschaltet. Damit hat der Konzern selbst Zugriff auf die notwendigen Schlüssel und könnte Daten britischer Bürger an Behörden herausgeben, sofern entsprechende Anordnungen vorliegen. Apple hatte sich stets gewehrt und mitgeteilt, man werde keine Hintertür in Geräte und Verschlüsselungssysteme einbauen. Apple strengte auch juristische Maßnahmen beim zuständigen Spezialgericht, dem geheimen Investigatory Powers Tribunal (IPT), an. Ob diese weiterlaufen, ist unklar – ebenso wenig, ob Großbritannien eventuell versucht, Daten von Bürgern außerhalb Amerikas zu erlangen. Über einen Deal mit der EU zu dem Thema ist nichts bekannt.