Comretix Blog

Um derzeit laufende Attacken auf verschiedene Windows- und Windows-Server-Versionen vorzubeugen, müssen Admins sicherstellen, dass sie Windows Update aktiviert haben und die aktuellen Patches installieren lassen. Außerdem gibt es noch Sicherheitsupdates für weitere Microsoft-Produkte.

Wie aus einer Warnmeldung von Microsoft hervorgeht, nutzen Angreifer derzeit eine Windows-Lücke aus (CVE-2025-33053 / EUVD-2025-17721, CVSS 8.8, Risiko "hoch"). Darüber schieben sie Schadcode auf Systeme und kompromittieren sie. Die Schwachstelle betrifft verschiedene Komponenten des mittlerweile eingestellten Internet Explorers 11. Darunter etwa EdgeHTML und MSHTML. Etwa WebView nutzt die EdgeHTML-Plattform. Die Komponenten werden aber auch von anderen Legacy-Anwendungen genutzt.

Damit Attacken erfolgreich sind, müssen Opfer aber auf einen präparierten Link klicken. Kriegen Angreifer das hin, können sie Schadcode ausführen. Davon sind Microsoft zufolge alle im Support befindlichen Windows- und Windows-Server-Versionen betroffen, aber auch nicht mehr unterstützte Ausgaben wie Windows Server 2008, die offensichtlich aufgrund der Gefährlichkeit der Lücke trotzdem Sicherheitspatches bekommen.

Unklar ist zurzeit, in welchem Umfang die Angriffe ablaufen und woran Admins bereits attackierte Systeme erkennen können.

Eine Lücke in Windows SMB (CVE-2025-33073 / EUVD-2025-17737, CVSS 8.8, Risiko "hoch") ist öffentlich bekannt und es können Attacken bevorstehen. Aufgrund von unzureichenden Zugriffskontrollen können sich Angreifer in diesem Kontext höhere Nutzerrechte verschaffen. Mehrere Lücken (etwa CVE-2025-47162 / EUVD-2025-17768, CVSS 8.4, Risiko "hoch") in unter anderem Office und SharePoint Server stuft Microsoft als kritisch ein. An diesen Stellen kann Schadcode auf PCs gelangen. Ansatzpunkt ist bei den Office-Lücken die Vorschaufunktion. Die Sicherheitsupdates für Microsoft 365 sollen folgen.

Hotels in Südtirol haben vermehrt mit kompromittierten Extranet-Zugängen bei Booking.com zu tun. Das geht aus einer E-Mail an die Mitglieder des Hotel- und Gastwirteverbands (HGV) hervor. Ein Extranet-Zugang soll einen gesicherten und kontrollierten Zugang und Datenaustausch mit einem Unternehmen ermöglichen, in diesem Fall Booking.com. Doch jetzt meldeten Betriebe dem HGV vermehrt Fälle, bei denen über Booking.com Phishing-E-Mails an Hotelgäste versandt wurden. Jetzt mutmaßen die Betroffenen über die Ursache, so steht etwa der HGV selbst oder deren Channel Manager (Wubook) in Verdacht.

Der HGV stehe im Austausch mit den betroffenen Betrieben. Laut dem HGV sollte Booking.com "den konkreten Benutzer" identifizieren können, "der zum Zeitpunkt des Mailversands im Extranet eingeloggt war". Weder der HGV noch Booking.com haben bisher auf eine Anfrage von heise online reagiert.

Als dringende Schutzmaßnahmen empfiehlt der HGV seinen Mitgliedern, das Versenden von Links im Extranet-Postfach zu deaktivieren, das Passwort zum Booking.com-Extranet-Zugang zu ändern, verknüpfte Geräte zu trennen und die Einstellungen für automatisierte Nachrichten zu kontrollieren. Zudem sollen die Verbandsmitglieder die bisherige Kommunikation mit Gästen auf "ungewöhnliche oder fremde Nachrichteninhalte" untersuchen und potenziell betroffene Gäste über mögliche Phishing-Mails informieren.

Außerdem empfiehlt der HGV, Mitarbeiter entsprechend zu schulen und erstmal über verdächtige Links in E-Mails drüberzuhovern, um sich die Zieladresse anzeigen zu lassen.

Immer wieder gibt es Berichte über Phishing-Vorfälle in Zusammenhang mit Booking.com. In der Vergangenheit gaben sich Betrüger als Hotelgäste aus und schafften es, Hotelmitarbeitern Malware unterzuschieben, um an Daten für den Zugang zum Extranet von Booking.com zu kommen. Anschließend konnten glaubhafte Phishing-Mails an Gäste verschickt werden, etwa mit dem Ziel, Hotelgäste dazu zu bringen, Anzahlungen zu tätigen. Anfang des Jahres gelang das beispielsweise beim V8-Hotel in Böblingen, wie SWR berichtete.

Ich habe Desinfec’t wie im Heft beschrieben unter Windows mit dem offiziellen Installationstool Desinfect2USB installiert. Dann habe ich den Stick, wie im Artikel erwähnt, beim ersten Start in einen nativen Stick konvertiert. Das hat aber glaube ich nicht richtig geklappt, denn wenn ich den PC jetzt vom Stick starte, taucht der Punkt zum Umwandeln wieder im Desinfec’t-Bootmenü auf. Was mache ich falsch?

Sie haben gar nichts falsch gemacht, und der Stick ist vollständig konvertiert. Dabei handelt es sich um einen Bug im Grand Unified Bootloader (GRUB) zum Starten von Linux-Systemen, der in Verbindung mit Desinfec’t auf manchen Computern auftaucht. Leider sind wir diesem Fehler bislang nicht auf die Spur gekommen und konnten ihn deshalb bisher nicht bereinigen. Wählen Sie einfach den Punkt "Desinfec’t starten" aus. Im Anschluss sollte der Eintrag nicht mehr auftauchen.

Ich habe einen brandneuen Laptop mit einem Wi-Fi-7-Modul. Leider findet Desinfec’t mein WLAN nicht und ich kann keine Internetverbindung herstellen. Haben Sie einen Tipp für mich?

Das klingt so, als würde der Treiber für das WLAN-Modul fehlen. Desinfec’t hat für solche Fälle den alternativen Kernel 6.14 implementiert, der Treiber für sehr neue Hardware mitbringt. Um das System damit zu starten, wählen Sie einfach den entsprechenden Eintrag im Desinfec’t-Bootmenü aus. Bei einem Testsystem mit Wi-Fi 7 hat das bei uns geklappt.

Um Desinfec't 2025 über die c’t-App herunterzuladen, müssen Sie lediglich auf "inkl. DVD als Download" tippen und im Anschluss für die Versendung des Downloadlinks Ihre Mailadresse ein.

Eine perfide Masche nutzen Cyberkriminelle derzeit im Netz, um arglose Nutzer zur Installation von Malware zu bewegen. Bei der Suche nach Standardbefehlen für macOS leiten die Ergebnisse auf Webseiten, die zwar Befehle anzeigen – anstatt die gesuchte Funktion auszuführen, verankern die jedoch Infostealer im System.

Werbung zu den Suchergebnissen leitet auf eine Malware-Seite.

(Bild: heis eonline / cku)

Die Suche auf Google etwa nach dem macOS-Befehl zum Entleeren des DNS-Cache mittels "mac flush dns cache" liefert in der Werbung der Ergebnisliste eine Webseite zurück, die vorgibt, den Befehl zu erläutern. Die URL mac-safer[.]com zeigt nach Klick an, wie der Befehl aufzurufen sei.

Die beworbene Webseite zeigt einen Befehl an, der jedoch Schadsoftware herunterlädt und installiert.

Die EU bietet nun einen eigenen DNS-Auflösungsdienst (Resolver) an und möchte ihren Bürgern damit helfen, unabhängiger von Angeboten großer US-Unternehmen wie Cloudflare und Google zu werden. Der Dienst heißt DNS4EU und filtert Internetadressen auf Nutzerwunsch vor: Neben Phishing- und Betrugsseiten sperrt er jugendgefährdende Websites und Werbung.

Ein DNS-Resolver gehört zu den fast unsichtbaren Basisdiensten für stabile Internetzugänge: Er werkelt im Hintergrund, meist beim Provider und sorgt dafür, dass Internetadressen wie www.heise.de zu IP-Adressen wie 2a02:2e0:3fe:1001:7777:772e:2:85 übersetzt werden. Doch in vielen Ländern – auch in Deutschland – werden Sperrverfügungen durch Lobbyverbände oder Jugendschutzbehörden oft auf DNS-Ebene umgesetzt. Deswegen und aus Geschwindigkeitsgründen behelfen sich Nutzer oft mit alternativen Anbietern wie Google, die mit dem Resolver 8.8.8.8 nicht nur eine der schönsten IP-Adressen nutzen, sondern auch über eine Billion Anfragen am Tag beantworten. Auch Cloudflare (1.1.1.1) und Quad9 (9.9.9.9) betreiben offene Resolver. Problematisch: Viele dieser Server sind in den USA, weswegen das Quad9-Konsortium seinen Sitz bereits nach Zürich verlegte.

Mit DNS4EU möchte die EU nun eine eigene Alternative zu den Anbietern außerhalb des Unionsgebiets schaffen und startet mit einem Angebot für Bürger. Sie können einen DNS-Resolver auswählen (und z.B. als DNS-Server im Router eintragen), der ihre Bedürfnisse abdeckt. Zum Start gibt es vier verschiedene Varianten, die zudem kombinierbar sind:

Der Dienst steht sowohl mit Resolver-Adressen in IPv4 und IPv6 als auch per DoH (DNS over HTTPS) oder DoT (DNS over TLS) bereit. Die Adressen finden sich auf der Projekt-Webseite (welche ironischerweise CloudFlare als Proxy und dDoS-Schutz verwendet) nach Filterzweck geordnet. Um die Ausfallsicherheit zu verbessern, liefert DNS4EU sowohl für DNS-Abfragen in IPv4 als auch für solche in IPv6 jeweils eine zweite IP-Adresse mit.

Für die Filterlisten bedient sich DNS4EU nach eigenen Angaben öffentlicher Listen wie der Bon-Apetit-Liste pornografischer Domains und der Werbe-Blockliste Goodbyeads. Falls eine Domain fälschlich blockiert wird oder in einer Liste fehlt, stellt der Anbieter ein Meldeformular bereit.

Das JavaScript-Webframework Astro legt in Version 5.9 den Fokus auf Security und erlaubt die experimentelle Nutzung der Content Security Policy (CSP). Zudem hat das Astro-Team eine Helper-Funktion für das Rendern von Markdown-Inhalten hinzugefügt.

Das neue Release lässt sich mittels automatisiertem CLI-Tool @astrojs/upgrade oder manuell per Paketmanager installieren. Hierbei ist die empfohlene Methode npx (npx @astrojs/upgrade).

Wie das Astro-Team ausführt, zählen Cross-Site-Scripting-Angriffe (XSS) zu den häufigsten Attacken auf Websites. Standardmäßig können Webseiten beliebige Skripte und Styles von einer beliebigen Quelle laden. Die beste Abwehr gegen XSS sei es demnach, das einzuschränken. Hier kommt die Content Security Policy ins Spiel, indem sie die Ziele auf eine Liste vertrauenswürdiger Quellen einschränkt.

Astro 5.9 bringt für CSP experimentellen Support out-of-the-box mit. CSP lässt sich dadurch in allen Render-Modi (statische Seiten, dynamische Seiten und Single-Page-Anwendungen) einsetzen, wobei eine hohe Flexibilität und Typsicherheit gegeben sein sollen. Der Workaround unsafe-inline soll hierdurch überflüssig werden.

Um CSP in Astro zu nutzen, ist es nötig, das experimentelle Flag zu aktivieren:

SAP hat zum Juni-Patchday 14 Sicherheitsmitteilungen veröffentlicht. In denen behandeln die Entwickler des Hauses teils kritische Sicherheitslücken in diversen Produkten. IT-Verantwortliche sollten die bereitgestellten Softwareupdates zügig installieren.

In der Übersicht zum Patchday von SAP listet der Hersteller die einzelnen Sicherheitsnotizen zu den Schwachstellen auf. Die schwerwiegendste Lücke betrifft den SAP Netweaver Application Server for ABAP. Das Verarbeiten bestimmter eingehender Kommunikation unterlässt nötige Autorisierungsprüfungen für authentifizierte Nutzerinnen und Nutzer, wodurch bösartige Akteure ihre Rechte ausweiten können (CVE-2025-42989 / EUVD-2025-17599, CVSS 9.6, Risiko "kritisch").

Fünf weitere Schwachstellen haben die Einstufung als hohes Risiko erhalten, sechs eine als mittleres und schließlich zwei die Einordnung als Risikostufe "niedrig".

Die Sicherheitslücken im einzelnen, nach Schweregrad sortiert:

Der SAP-Patchday im Mai brachte Sicherheitsupdates für Schwachstellen aus 16 Sicherheitsnotizen. Auch dort stellte eine kritische Sicherheitslücke in SAP Netweaver das größte Risiko der behandelten Sicherheitslecks dar.

GIMP hat eine Schwachstelle in der Verarbeitung von ICO-Dateien. Angreifer können dadurch mit manipulierten Icon-Dateien Schadcode einschleusen.

Die Sicherheitslücke hat Trend Micros Zero-Day-Initiative (ZDI) gemeldet. Es handelt sich um einen nicht näher spezifizierten Integer-Überlauf im ICO-Parser von GIMP, der auf unzureichende Überprüfung von Nutzer-.kontrollierten Daten zurückgeht. Vor dem Schreiben auf den Speicher kann dieser Überlauf auftreten – die Beschreibung nennt es nicht explizit, aber oftmals reicht die Göße eines angelegten Puffers dann nicht, um die Daten aufzunehmen, wodurch sich Speicherbereiche mit eingeschleusten Inhalten überschreiben lassen. Um die Lücke zu missbrauchen, müssen potenzielle Opfer eine bösartige Webseite besuchen oder eine sorgsam präparierte Datei öffnen (CVE-2025-5473 / EUVD-2025-17358, CVSS 7.8, Risiko "hoch").

Die Sicherheitsmitteilung der EUVD nennt als betroffene Version 3.0.2. Eine derartige Einschränkung findet sich weder beim ZDI, noch im CVE-Schwachstelleneintrag. Wahrscheinlich sind auch ältere Versionen angreifbar.

Die Entwickler haben das Sicherheitsleck zumindest in GIMP 3.0.4 abgedichtet, das im Mai erschienen ist. Die meisten Linux-Distributionen haben inzwischen aktualisierte Pakete verteilt. Wer GIMP unter Windows nutzt und die Software aus dem Microsoft Store bezogen hat, hat das Update bereits automatisch erhalten. Alle anderen GIMP-Nutzerinnen und -Nutzer sollten prüfen, ob sie schon die aktuelle Version einsetzen und sie gegebenenfalls aktualisieren.

Mitte März haben die Entwickler das seit Jahren erwartete Update auf GIMP 3 veröffentlicht. Einige Sicherheitslücken schließen die Entwickler mit dem 3er-Entwicklungszweig, die im Zweig GIMP 2 noch enthalten sind. Eine Migration auf den neuen GIMP-Softwarezweig empfiehlt sich auch daher.

Besucher des Weißen Hauses können über ein Gäste-WLAN von Elon Musk ins Internet gehen – ganz ohne jegliche Authentifikation oder eine Protokollierung der Verbindungsdaten, wie es bei Internetzugängen im Weißen Haus normalerweise üblich ist. Es ist nur der wohl gravierendste von mehreren Sicherheitsmängeln an Starlink, Elon Musks Dienst für Satelliten-Internet, der seit März auch an mehreren Standorten der US-Regierung im Einsatz ist. Jetzt wird die ganze Tragweite des Problems bekannt.

Nun haben sich Verantwortliche des Weißen Hauses aus dem Bereich Telekommunikation anonym an die Washington Post (WP) gewandt und über die Situation gesprochen. Normalerweise könnten private Smartphones in Gast-WLANs nur mit eigenem Nutzernamen und Passwort surfen, natürlich erst nach einem ausführlichen Freigabeprozess und mit entsprechender Sicherheitssoftware. Die Zugänge müssten zudem wöchentlich erneuert werden und der Verkehr darüber würde aufgezeichnet. Verbindungen nach außerhalb des Weißen Hauses ließen sich nur über einen VPN-Tunnel herstellen. Die Regeln für Internetnutzung im Weißen Haus gehörten zu den strengsten im ganzen Land. Eigentlich – "Starlink erfordert nichts dergleichen", macht eine der WP-Kontaktpersonen klar. Die Technologie erlaube es, Daten ohne jede Mitzeichnung oder Ortung zu übermitteln. Auch, weil der VPN-Tunnel hier entfällt. "Starlink ermöglicht es, die Sicherheitsvorkehrungen zu umgehen", zitiert die WP ihre Quelle.

Abgeordnete der Demokraten, die Mitglied im White House Oversight Committee – einem Aufsichtsgremium des Weißen Hauses – sind, seien bereits über die Lage informiert worden. Sie hätten sich dazu auch an die Trump-Administration gewandt, bis heute aber keine Antwort dazu erhalten. Das sagte Stephen F. Lynch der WP, er führt die Gruppe der Demokraten im Komitee. Mutige Whistleblower hätten brisante Informationen an die Gruppe herangetragen, es würde eine Untersuchung laufen.

Die Situation habe möglicherweise "das Potenzial, unsere nationale Sicherheit zu unterwandern", sagt er. Kein Wunder, ist das Weiße Haus schließlich so etwas wie das Herzstück der US-Regierung. Aufgrund der zahlreichen und vielseitigen Aufgaben, welche die Angehörigen hier erfüllen, haben sie auch mehr Freiheiten im Hinblick auf ihre Smartphones – bei US-Nachrichtendiensten wäre das zum Beispiel undenkbar, schreibt die WP.

Auch an anderen Regierungsstandorten gibt es Starlink, die WP nennt einen Whistleblower, der auf den Einsatz der Technologie beim National Labor Relations Board aufmerksam gemacht habe. Die Behörde ist für die Durchsetzung von Arbeitsrechten zuständig. Ein ehemaliger Beschäftigter der General Services Administration (GSA) sagte der Zeitung, Angehörige von Elon Musks Einsparungsbehörde DOGE hätten Starlink vergangenen Monat dort genutzt – auch hier ohne jede Mitzeichnung oder Ortung. Die GSA ist für die Versorgung der US-Regierung mit Büros und Büromaterial, Telekommunikationsausstattung und Transportkapazitäten zuständig.

Ein Sicherheitsupdate von Microsoft aus dem April hat auf Windows-Systemen einen Ordner namens "inetpub" angelegt. Den haben einige Nutzer arglos gelöscht, was jedoch ein neues Sicherheitsleck aufreißt. Microsoft stellt nun ein Powershell-Script bereit, das den Ordner und korrekte Berechtigungen dafür wieder anlegt.

Microsoft hat die Sicherheitsmitteilung zu der Schwachstelle, die das Update schließt, welches seinerseits den "inetpub"-Ordner anlegt, aktualisiert. "Auf Systemen, auf denen KB5055528 [die April-Sicherheitsupdates] installiert ist, aber das Verzeichnis '%systemroot%\inetpub' gelöscht wurde, ist eine sofortige Abhilfe erforderlich. Wenn das Verzeichnis 'inetpub' gelöscht wurde, müssen Sie das Abhilfe-Skript Set-InetpubFolderAcl.ps1 ausführen", schreibt Microsoft nun dort.

Nun stellt Microsoft ein Powershell-Script zur Verfügung, das das Problem lösen helfen soll. Laut Microsofts Beschreibung legt es das "inetpub"-Verzeichnis neu an, sollte es gelöscht worden sein. Außerdem "stellt es sicher, dass die Verzeichnisrechte korrekt konfiguriert sind, um unbefugten Zugriff und potenzielle Schwachstellen im Bezug auf CVE-2025-21204 zu verhindern", erörtert das Unternehmen.

Zudem aktualisiert das Skript die Zugriffsrechte (ACLs) des Verzeichnisses "DeviceHealthAttestation", sofern es vorhanden ist. "Dieses Verzeichnis wurde auf bestimmten Server-Versionen von den Sicherheitsupdates aus dem Februar 2025 erzeugt. Das Skript aktualisiert die ACLs des Verzeichnisses, um sicherzustellen, dass es sicher ist", erklärt Microsoft in der aktualisierten Sicherheitsmeldung.

Um das Script zu installieren, soll der Aufruf Install-Script -Name Set-InetpubFolderAcl genügen. Um das Script selbst zu starten, sind Admin-Rechte nötig.

Mit dem Update auf Android 16 hat Google eine neue Schaltzentrale für Sicherheitsfunktionen angekündigt. Doch mit der kurz vor der Veröffentlichung stehenden stabilen Version scheint das zentralisierte "Erweiterte Sicherheitsprogramm" noch nicht zu erscheinen, sondern erst mit der im Herbst kommenden Version QPR1. Denn wie das neue Material-3-Expressive-Design sind die erweiterten Sicherheitsfunktionen erst in der QPR1 aufgetaucht.

Das "Erweiterte Sicherheitsprogramm" ist nicht vollkommen neu, allerdings waren die Funktionen bislang verstreut. Mit dem anstehenden Update packt Google die Einstellungen an einen Ort, integriert aber auch vier neue Sicherheitsfunktionen. Zudem gilt, dass der Geräteschutz vom Nutzer aktiviert werden muss. Ist der Schalter in den Einstellungen unter "Datenschutz & Sicherheit" > "Erweitertes Sicherheitsprogramm" umgelegt, treten sämtliche Sicherheitsvorkehrungen auf einen Streich in Kraft. Sobald der erweiterte Schutz aktiviert ist, können diese Sicherheitsprotokolle nicht mehr angepasst werden.

Android 16: Nach Aktivierung des erweiterten Sicherheitsprogramms muss das Smartphone neu gestartet werden.

(Bild: heise online/afl)

Im neuen Dashboard sind die Sicherheitsfunktionen nach Kategorien wie Gerätediebstahl, Apps, Netzwerke, Web und Telefon-App sortiert. In der Rubrik Gerätediebstahl informiert der Hersteller darüber, dass das Gerät nach drei Tagen der Inaktivität neu gestartet wird. Diese Funktion ist schon seit einigen Wochen bekannt, jedoch war damals unklar, ob sie Teil des optionalen Programms ist.

Das Bundesinnenministerium (BMI) arbeitet derzeit am Umsetzungsgesetz zur revidierten Netzwerk- und Informationssicherheitsrichtlinie der Europäischen Union (NIS2). Die Umsetzung in deutsches Bundesrecht hätte eigentlich bis zum 17. Oktober 2024 erfolgen müssen, wurde aber aufgrund des Ampel-Endes wurde das Gesetz jedoch nicht mehr vom alten Bundestag verabschiedet. In einem nun bekannt gewordenen Zwischenstand von Ende Mai zeigt sich, dass große Teile des Ampel-Entwurfs den Regierungswechsel überdauert haben. Kleinere Änderungen gegenüber dem letzten Entwurf sind dennoch enthalten.

Die Änderungen beim nun von der AG Kritis veröffentlichten Zwischenstand betreffen unter anderem den Telekommunikationssektor. Bisher mussten Unternehmen mindestens 10 Millionen Euro Jahresumsatz und zusätzlich eine ebenso hohe Bilanzsumme vorweisen, um unter NIS2 zu fallen, im neuen Entwurf wird aus dem "und" ein "oder". Somit dürften mehr der kleineren TK-Anbieter unter die Regelungen fallen.

Teilweise eingearbeitet wurden zudem die Beschlussempfehlungen aus dem Innenausschuss des vergangenen Bundestages. Gestrichen wurde zudem ein Absatz, der nach dem Motto "melden macht frei" dazu geführt hätte, dass keine zusätzlichen Maßnahmen ergriffen werden müssten, wenn ein Betreiber selbst einen Vorfall meldet.

Vor allem die Bundesverwaltung fasst die aktualisierte Entwurfsversion strenger an: Statt wie bisher geplant nach fünf Jahren sollen diese nunmehr nach drei Jahren nachweisen, dass sie die Anforderungen erfüllen. Und auch hier wird angepasst: auch die Bundesverwaltung, also Ministerien und nachgeordnete Behörden, müssen sich an Standards des Bundesamts für Sicherheit in der Informationstechnik und den IT-Grundschutz halten -- der zum 1. Januar 2026 vom BSI "modernisiert und fortentwickelt" werden soll.

Weiterhin nicht gelöst ist das Problem, dass der Bund keine Vorschriften für Länder und Kommunen erlassen kann. Gerade letztere waren in den vergangenen Jahren häufig das Ziel von Angriffen. Die Vorschriften hierfür liegen jedoch aufgrund des sogenannten Mischverwaltungsverbotes ausschließlich in der Hand der Bundesländer.

Microsoft hat eine kritische Sicherheitslücke in dem "Robotic Process Automation"-Tool (RPA) Power Automate (auch als Power Automate Desktop bekannt) entdeckt. Serverseitige Updates stopfen sie. Außerdem wurde nun bekannt, dass Microsoft den Support für persönliche Dienst-Konten einstellt. Nutzer davon müssen auf ein kostenpflichtiges Azure-Abo umsteigen.

Viele Details zur Sicherheitslücke nennt Microsoft in dem Schwachstelleneintrag nicht. Nicht autorisierte Angreifer können sensible Informationen abgreifen, was ihnen die Ausweitung ihrer Rechte über das Netzwerk ermöglicht (CVE-2025-47966 / EUVD-2025-17028, CVSS 9.8, Risiko "kritisch"). Die gute Nachricht: "Die durch dieses CVE dokumentierte Sicherheitslücke erfordert keine Maßnahmen des Kunden, um sie zu beheben", schreibt Microsoft, denn die Lücke haben die Entwickler auf den Microsoft-Servern bereits gestopft.

Seit vergangener Woche hat Microsoft angefangen, das Ende persönlicher Microsoft-Dienst-Konten in Power Automate einzuläuten. In einem Support-Artikel erklärt Microsoft, dass der Vorgang am 26. Juli beendet sein soll. Ab da an müssen diejenigen, die Power Automate weiternutzen wollen, ein Azure-Konto anlegen und ein Power-Apps-Entwickler-Abo abschließen. Danach ist zudem ein Export der bestehenden Automatisierungen und ein Import in die neue Umgebung nötig.

Ab dem 27. Juli dieses Jahres können sich Nutzerinnen und Nutzer nicht mehr mit persönlichen E-Mail-Konten etwa von gmail.com oder outlook.com im Power-Automate-Portal oder der mobilen App anmelden. Sie können auch keine Cloud-Flows erstellen, editieren oder verwalten. Zudem wird der Zugriff auf sämtliche Cloud-Flows mit Microsoft-Dienst-Konten dauerhaft entfernt und diese gelöscht.

Von Power Automate gibt es auch eine kostenlose Version, die etwa mit einer Windows-10-Lizenz verknüpft ist. Die Software unterstützt Microsoft jedoch weiter, auch mit persönlichen E-Mail-Konten. Hier herrscht jedoch etwas Unklarheit über den Patch-Status – da damit offenbar nicht die Cloud-Version gemeint ist, müsste ein Update auch für die lokale Anwendung verfügbar sein. Davon schreibt Microsoft in der Schwachstellenmeldung jedoch nichts, erwähnt aber explizit den Produktnamen "Power Automate Desktop".

In einem Maßnahmenpaket zur Bekämpfung der Cyberkriminalität versteckt das russische Ministerium für digitale Entwicklung eine Legalisierung bestimmter dDoS-Angriffe. Das Gesetzesvorhaben ist derzeit in Abstimmung mit Behörden und Industrievertretern und enthält mehrere Dutzend neue Maßnahmen.

Verteilte Denial-of-Service-Angriffe (dDoS) sind seit Jahrzehnten eines der größten Probleme für Internetanbieter und Seitenbetreiber. Bei den mittlerweile auf Terabits an Daten angeschwollenen Attacken setzen Cyberkriminelle oder Aktivisten durch Paketfluten Webserver, Apps oder andere Dienste außer Gefecht. Kriminelle nutzen dDoS zur Erpressung, russische Gruppierungen wie Noname057(16) aber auch zum Ausdruck ihrer Unterstützung des Angriffskriegs gegen die Ukraine.

Künftig könnten sie das womöglich mit dem Segen des russischen Justizapparats tun, wenn sie ihre Ziele entsprechend aussuchen. In dem Paket "Betrugsbekämpfung 2.0" (russ.: "Антифрод 2.0") soll dDoS mit empfindlichen Strafandrohungen von bis zu zwei Millionen Rubel Geld-, 8 Jahren Freiheitsstrafe und zwischen einem und drei Jahren Berufsverbot versehen werden. Dazu soll ins russische Strafgesetzbuch der Artikel 272.2 aufgenommen werden, berichtet die russische Tageszeitung Kommersant.

Doch der Entwurf sieht eine Ausnahme vor, wenn Angreifer sich Ziele ausgesucht haben, "deren Zugriff gesetzlich verboten oder eingeschränkt ist". Werden sie bei einem dDoS gegen derlei Ressourcen erwischt, gehen sie straffrei aus. Die Liste dieser eingeschränkten Ressourcen ist in Russland lang. Sie umfasst große soziale Netzwerke wie Instagram, X, Discord und Youtube, fast alle ukrainischen Medienseiten, aber auch Amnesty International und sogar eine Webseite für Schachfreunde.

Somit könnten russische Netzvandalen ungehindert gegen Unternehmen und Dienste vorgehen, solange diese nur auf der Sperrliste von Roskomnadzor, der russischen Aufsichtsbehörde verzeichnet sind. Diese können Interessierte online abfragen, sie war am frühen Freitagnachmittag von mehreren Testpunkten in Deutschland jedoch nicht aufrufbar. Womöglich wegen einer Netzsperre oder gar wegen eines dDoS-Angriffs? Dieser dürfte dann auch nach neuer russischer Rechtsauffassung strafbar sein.

In dieser Woche wurden drei Datenlecks nach IT-Vorfällen bei renommierten Handelsketten bekannt. Kriminelle konnten sensible Daten bei Cartier, Northface und Victoria's Secret kopieren.

Wie der Nachrichtendienst Reuters mitteilte, hat der Luxus-Juwelier Cartier Anfang der Woche in einer E-Mail Kunden darüber informiert, dass es einen Einbruch in die Webseite des Unternehmens gab und einige Kundendaten dabei entwendet wurden. Demnach haben sich "Unbefugte vorübergehend Zugang zu unserem System verschafft". Dabei seien Zugriffe auf "eingeschränkte Kundeninformationen" erfolgt, etwa Namen, E-Mail-Adressen und Länder. "Die betroffenen Informationen enthielten keine Passwörter, Kreditkartendaten oder andere Bankinformationen", man habe den Vorfall seitdem behoben.

Der Bekleidungshersteller The Northface hat ebenfalls Mails an Kunden versendet, die über einen Datenschutz-Vorfall vom 23. April des Jahres informieren. Darin heißt es, dass an dem Tag ungewöhnliche Aktivitäten auf der Webseite aufgefallen seien. Eine Credential-Stuffing-Attacke, bei der Angreifer Zugangsdaten und Passwörter aus vorherigen Datendiebstählen ausprobieren, sei in kleinem Umfang erfolgt. Solche Angriffe versprechen insbesondere dann Erfolg, wenn User Passwörter für andere Dienste wiederverwenden.

Northface informiert die Kunden mit der Nachricht, dass den eigenen Recherchen zufolge die Angreifer zuvor Zugriff auf E-Mail-Adresse und Passwörter der Nutzer erlangt und diese Informationen auf der Northface-Webseite wiederverwendet haben, um auf das Nutzerkonto zuzugreifen. Sofern der Zugriff gelang, können die Angreifer auf Daten wie gekaufte Produkte, Lieferadresse, E-Mail-Adressen, Vor- und Nachname, Geburtsdatum und Telefonnummer zugreifen, sofern Kunden diese angegeben haben. Nicht zugreifbar seien hingegen Zahlungsinformationen wie Kredit- oder Debit-Karten.

Bei dem Luxus-Wäscheanbieter Victoria's Secret hingegen verzögert sich die Bekanntgabe der Unternehmensergebnisse aufgrund eines IT-Sicherheitsvorfalls. Am 24. Mai sei dort ein Sicherheitsvorfall in den IT-Systemen aufgefallen. Als Vorsichtsmaßnahme seien die Unternehmenssysteme und die E-Commerce-Webseite am 26. Mai heruntergefahren worden. Am 29. Mai habe das Unternehmen die Webseite wiederhergestellt. Arbeiten seien noch im Gange, vollen Zugriff auf die Unternehmenssysteme wiederzuerlangen. Es waren auch einige Funktionen in den Victoria's-Secret- und Pink-Geschäften betroffen, die jedoch größtenteils ebenfalls wiederhergestellt seien. Materielle Einbußen habe der Vorfall bislang nicht verursacht.

Bei mindestens einem US-Provider sind mutmaßlich zur chinesischen Regierung gehörende Angreifer schon ein Jahr früher in die Systeme eingebrochen als im Rahmen des umfangreichen Angriffs auf Netzbetreiber, der im Herbst bekannt wurde. Das berichtet Bloomberg unter Berufung auf anonyme Quellen und ein Dokument, das bereits vor Monaten an Geheimdienste verschickt wurde. Demnach wurde bei der Analyse des massiven Cyberangriffs auf mehrere Provider bei einem davon die Malware entdeckt, die dort seit 2023 installiert war. Ob dieser Angriff mit der späteren Attacke zusammenhängt, sei zwar nicht klar, aber die entdeckte Malware werde mit jener Gruppe in Verbindung gebracht, die dafür verantwortlich sein soll.

Wie Bloomberg in Erinnerung ruft, ist im Lauf der Untersuchung des großen Cyberangriffs immer wieder darauf hingewiesen worden, dass der über ein Rootkit für Windows-Kernel namens Demodex erfolgt war. Das wird der Gruppe namens "Salt Typhoon", "GhostEmperor" beziehungsweise "FamousSparrow" zugeschrieben, die der chinesischen Regierung nahestehen soll. Bei einem der Provider sei dann entdeckt worden, dass dieses Rootkit deutlich früher installiert wurde, nämlich bereits 2023. Ob das aber mit dem Großangriff in Zusammenhang steht, sei trotzdem nicht klar. Auch welcher Provider betroffen war, hat Bloomberg nicht erfahren. Was die Verantwortlichen genau in den Systemen wollten, sei ebenfalls nicht geklärt.

Dass es Angreifern gelungen ist, die Netzwerke von AT&T, Verizon, T-Mobile und anderen Providern zu kompromittieren, ist Anfang Oktober bekannt geworden. Der Gruppe ging es dabei offenbar um Informationsbeschaffung. Es handle sich um den "größten Telekommunikationshack in der US-Geschichte – und zwar mit Abstand", hat der Vorsitzende des für Geheimdienste zuständigen Senatsausschusses schon im November gesagt. Eine dazu laufende Untersuchung wurde von der neuen US-Regierung unter Donald Trump im Januar abrupt gestoppt, als alle nicht vom Staat entsandten Mitglieder verschiedener Beratungsgremien entlassen wurden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.

In der umfangreichen Virenschutz- und Backup-Software Acronis Cyber Protect hat der Hersteller mehrere, teils höchst kritische Sicherheitslücken entdeckt. Diese stopfen die Entwickler mit aktualisierter Software.

Angreifer können durch die Schwachstellen vertrauliche Daten abgreifen und manipulieren oder ihre Rechte im System ausweiten. Drei Schwachstellen stellen den schlimmstmöglichen Fall dar und erreichen die Höchstwertung CVSS 10 von 10 möglichen "Punkten". Details nennt Acronis keine, lediglich eine knappe Beschreibung. Einmal können Angreifer sensible Daten auslesen und verändern aufgrund unzureichender Authentifizierung (CVE-2025-30411 / noch kein EUVD, CVSS 10.0, Risiko "kritisch"). Denselben Effekt hat eine fehlende Autorisierung (CVE-2025-30416 / noch kein EUVD, CVSS 10.0, Risiko "kritisch") sowie eine weitere unzureichende Authentifizierung (CVE-2025-30412 / noch kein EUVD, CVSS 10.0, Risiko "kritisch"). Die Schwachstellen betreffen Acronis Cyber Protect 16 für Linux und Windows vor der Build-Nummer 39938.

Aufgrund einer weiteren fehlenden Authentifizierung gelingen unbefugte Zugriffe und potenzielle Manipulationen von sensiblen Daten neben der älteren vorgenannten Acronis-Cyber-Protect-16-Builds auch unter Linux und zudem im Acronis Cyber Protect Cloud Agent für Linux, macOS und Windows vor Build 39870 (CVE-2025-30410 / kein EUVD, CVSS 9.8, Risiko "kritisch"). In Acronis Cyber Protect 16 für Windows vor dem Build 39938 klafft zudem eine Sicherheitslücke, die Angreifern aufgrund von unsicheren Ordner-Berechtigungen ermöglicht, ihre Rechte im System auszuweiten (CVE-2025-48961 / EUVD-2025-16875, CVSS 7.3, Risiko "hoch").

Acronis Cyber Protect 16 für Linux, macOS und Windows nutzt vor Build 39938 außerdem einen schwachen Server Key für die TLS-Verschlüsselung (CVE-2025-48960 / EUVD-2025-16874, CVSS 5.9, Risiko "mittel"). Außer unter macOS können Angreifer darin zudem eine Server-Side-Request-Forgery (SSRF) zum Ausspähen sensibler Informationen missbrauchen (CVE-2025-48962 / EUVD-2025-16876, CVSS 4.3, Risiko "mittel").

Updates stehen seit etwa einem Monat in Form von Acronis Cyber Protect 16 Update 4 für Linux, macOS und Windows sowie Acronis Cyber Protect Cloud Agent Update C25.03 Hotfix 2 bereit. Wer Acronis einsetzt, sollte die Aktualisierungen zügig installieren, um die Angriffsfläche zu minimieren.