Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Sicherheitsupdates: Angreifer können Qnap NAS kompromittieren

Qnaps NAS-Betriebssysteme QTS und QuTS hero sind angreifbar. Sicherheitslücken in den Apps License Center und Qsync Central können ebenfalls als Einfallstor dienen. NAS-Besitzer sollten sicherstellen, dass die aktuellen Sicherheitspatches installiert sind.

Anzeige

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler in QTS und QuTS hero insgesamt acht Sicherheitslücken geschlossen. Davon sind drei Stück mit dem Bedrohungsgrad "hoch" eingestuft (CVE-2024-50393, CVE-2024-48868, CVE-2024-48865). Wenn Angreifer die Lücken erfolgreich ausnutzen, können sie unter anderem eigene Befehle ausführen. Attacken sind in den meisten Fällen aus der Ferne möglich. Wie so eine Attacke im Detail ablaufen könnte, ist aber bislang unklar.

Die Schwachstellen haben Teilnehmer des Hacking-Wettbewerbs Pwn2Own entdeckt. Diese Versionen sind gegen mögliche Angriffe gerüstet:

QTS 5.1.9.2954 build 20241120QTS 5.2.2.2950 build 20241114QuTS hero h5.1.9.2954 build 20241120QuTS hero h5.2.2.2952 build 20241116

Zusätzlich können entfernte Angreifer an Lücken in License Center (CVE-2024-48863 "hoch") und Qsync Central (CVE-2024-50404 "mittel") ansetzen. Auch hier ist die Ausführung von eigenen Befehlen vorstellbar. Abhilfe schaffen License Center 1.9.43 und Qsync Central 4.4.0.16_20240819 (2024/08/19). Bislang gibt es noch keine Hinweise auf laufende Attacken.

Weiterlesen
  25 Aufrufe

heise-Angebot: iX-Workshop: Windows Server absichern und härten

Windows-Server-Systeme sind ein zentrales Element der IT-Infrastruktur vieler Unternehmen. Entsprechend wichtig ist ihre Sicherheit. Im Cyberwar stehen sie immer häufiger im Fokus von Angriffen. Eine professionelle Absicherung und Härtung dieser Systeme ist daher unerlässlich. Zudem fordern verschiedene regulatorische Vorgaben und Industriestandards eine erhöhte Sicherheit von Betriebssystemen und Identitätssystemen wie Active Directory oder Entra ID.

Anzeige

Im Praxisworkshop Windows Server absichern und härten lernen Sie, wie Sie Ihre Windows Server-Systeme effizient und nachhaltig härten können. Sie erhalten einen umfassenden und praxisnahen Einblick in die Konzepte der Systemhärtung und lernen, wie Sie Windows Server von Grund auf und prozessorientiert absichern, welche Unterschiede zwischen manueller und zentraler Konfiguration bestehen und warum die Härtung über Gruppenrichtlinien/GPOs oft ineffizient ist. Darüber hinaus erfahren Sie, welche Anforderungen sich aus regulatorischen Vorgaben ergeben und wie Sie Schutzmaßnahmen in Ihre Infrastruktur integrieren können.

Der Workshop ist stark praxisorientiert und kombiniert theoretische Einheiten mit vertiefenden Übungen, wie z.B. die Anwendung des Open Source Tools AuditTAP und die Erstellung einer Hardening GPO auf Basis von CIS. Darüber hinaus arbeiten Sie an konkreten Fallbeispielen und diskutieren typische Fallstricke in Hardening-Projekten. So sammeln Sie praktische Erfahrungen und können das Gelernte direkt in Ihrer eigenen Arbeit anwenden.

Februar
04.02. - 05.02.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 06. Jan. 2025
April
07.04. - 08.04.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 09. Mrz. 2025

Dieser Workshop richtet sich an Systemadministratoren, CISOs und IT-Sicherheitsexperten, die ihre Kenntnisse im Bereich Absicherung und Hardening von Windows Server Systemen erweitern möchten.

Weiterlesen
  21 Aufrufe

heise-Angebot: iX-Workshop: PowerShell für Systemadministratoren - Effiziente Automatisierung

Die Verwaltung und Automatisierung von Windows-Umgebungen sind wichtige Aspekte in der Arbeit eines Systemadministrators. PowerShell ist dabei das bevorzugte Werkzeug, um Effizienz, Skalierbarkeit und Zuverlässigkeit zu gewährleisten. Besonders im Kontext wachsender IT-Infrastrukturen bietet der gezielte Einsatz von PowerShell erhebliche Vorteile.

Anzeige

In unserem dreitägigen Praxis-Workshop PowerShell für Systemadministratoren erwerben Sie das notwendige Wissen, um sowohl grundlegende als auch fortgeschrittene Aufgaben in der Windows-Administration zu automatisieren. Sie lernen, PowerShell-Skripte zu schreiben, um wiederkehrende Aufgaben zu optimieren, Daten zu verwalten, Berichte zu erstellen und Systeme effizient zu konfigurieren. Der Kurs bietet Ihnen eine Mischung aus Theorie und praxisnahen Übungen, die Sie sofort in Ihrem Arbeitsalltag anwenden können.

Während des gesamten Workshops haben Sie Zugriff auf eine eingerichtete Laborumgebung. In diesem sicheren Umfeld können Sie die erlernten Inhalte direkt anwenden und vertiefen, um Ihre PowerShell-Kenntnisse zu festigen.

März
17.03. - 19.03.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 16. Feb. 2025
Mai
14.05. - 16.05.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 15. Apr. 2025
November
05.11. - 07.11.2025
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 07. Okt. 2025

Der Workshop richtet sich an Systemadministratoren, die in Windows-Umgebungen arbeiten und ihre Kenntnisse im Bereich der Automatisierung mit PowerShell erweitern möchten. Er ist sowohl für Administratoren ohne PowerShell-Erfahrung als auch für diejenigen gedacht, die bereits über rudimentäre PowerShell-Kenntnisse verfügen, aber noch unsicher im Umgang mit eigenen Skripten sind.

Weiterlesen
  32 Aufrufe

Büro am Freitag, den 13. Dezember 2024, ab 12:30 Uhr geschlossen…

Sehr geehrte Damen und Herren,

wir möchten Sie hiermit darüber informieren, dass unser Büro am kommenden Freitag (13. Dezember 2024) aufgrund einer internen Firmenveranstaltung ab 12:30 Uhr geschlossen sein wird.

Ab Montag (16. Dezember 2024) sind wir dann wieder zu den gewohnten Bürozeiten für Sie erreichbar.

Vielen Dank für Ihr Verständnis!

Ihr mediDOK-Team

(Ursprünglich geschrieben von Lars Millermann)

  20 Aufrufe

l+f: TV-Empfänger mit DDoS-Funktionalität ab Werk

Stellen Sie sich vor, dass Ihr Sat-Empfänger neben dem TV-Empfang noch von Ihnen unbemerkt Cyberangriffe ausführt. Das ist so wohl in Korea geschehen, wie die dortige Polizei nun mitteilt.

Anzeige

In einer Pressemitteilung schreiben sie, dass ein namentlich nicht genannter Hersteller von Satelliten-TV-Receivern auf Wunsch eines Firmenkunden 240.000 Geräte mit einer DDoS-Funktionalität hergestellt und in Umlauf gebracht hat. Bei so einem Angriff überrennt ein Verbund aus Geräten etwa Webserver mit unzähligen Anfragen, um so Dienste gezielt lahmzulegen.

Wie das in diesem Fall technisch im Detail vonstattenging, ist zurzeit nicht bekannt. Den Ermittlern zufolge hat der Hersteller 98.000 Empfänger mit DDoS-Funktion ausgeliefert und der Rest hat die Funktion über ein Softwareupdate bekommen.

Die Ermittler vermuten, dass der Kunde damit die Cyberattacken eines Konkurrenten kontern wollte. Mittlerweile wurden sechs Mitarbeiter des Sat-Receiver-Herstellers inklusive des CEOs festgenommen.

Weiterlesen
  47 Aufrufe

Sicherheitsupdate: Backupsoftware Dell NetWorker kann Daten leaken

Systeme, auf denen Dell BSAFE Micro Edition Suite oder NetWorker läuft, sind verwundbar. Die Entwickler haben nun reparierte Versionen zum Download bereitgestellt. Ein Sicherheitsupdate ist bislang aber nur angekündigt.

Anzeige

Mit NetWorker steuern Admins Backup- und Recovery-Prozesse. Haben Angreifer ohne Authentifizierung bereits Zugriff, können sie an einer Sicherheitslücke (CVE-2024-42422 "hoch") ansetzen und auf eigentlich abgeschottete Informationen zugreifen. Wie Angriffe konkret ablaufen könnten und wie Admins attackierte Systeme erkennen könne, bleibt bislang unklar.

In einem Beitrag schreiben die Entwickler, dass NetWorker Client 19.10.0.6 gegen diese Attacke abgesichert ist. Für den Versionsstrang 19.11 bis 19.11.0.2 soll das Sicherheitsupdate im Laufe des Dezembers folgen.

Das Software-Development-Kit (SDK) BSAFE Micro Edition Suite, mit dem Entwickler etwa in C programmierte Anwendungen mit TLS-Zertifikaten ausstatten können, ist über eine Schwachstelle angreifbar. Informationen zur Lücke stehen einer Warnmeldung zufolge nur für BSAFE-Nutzer mit einem Wartungsvertrag zur Verfügung. Die Ausgabe 5.0.3 ist repariert.

Weiterlesen
  46 Aufrufe

Supply-Chain-Attacke: Solana web3.js-Bibliothek war mit Schadcode verseucht

Wer jüngst das JavaScript SDK web3.js von Solana aus dem Paketmanager npm heruntergeladen hat, hat sich unter Umständen Schadcode eingefangen. Der Ursprung ist wahrscheinlich eine Phishing-Attacke auf Maintainer der Bibliothek.

Anzeige

In einem Bericht führen Sicherheitsforscher von Socket aus, dass davon die Versionen 1.95.6 und 1.95.7 betroffen sind. Diese Ausgaben enthalten Code, der private Schlüssel einsammelt. Damit sind etwa Attacken auf Wallets mit Kryptowährung möglich.

Die Sicherheitsforscher gehen davon aus, dass die unbekannten Angreifer über Social-Engineering-Attacken auf Maintainer Zugriff auf das SDK bekommen haben und es so verändern konnten. Dabei handelt es sich um eine Supply-Chain-Attacke.

Bei solchen Angriffen wird nicht ein Ziel direkt attackiert, sondern etwa eine Software, die dann jeweils auf Systemen von Nutzern einen Trojaner ablädt. Handelt es sich dabei wie in diesem Fall um ein SDK, enthält damit erstellte Software ebenfalls Schadcode und die Reichweite des Schadenspotenzials vervielfacht sich.

Weiterlesen
  46 Aufrufe

Telekom: Kunden erstellen über eine Million Passkeys

Nach dem Einloggen bietet die Telekom-Website das Erstellen eines Passkeys automatisch an.

Immer mehr Websites und Apps bieten ihren Nutzern das moderne und vom BSI empfohlene Authentifizierungsverfahren Passkey als Alternative zum Passwort an. Ohne es an die große Glocke zu hängen hat auch die Telekom im August Passkeys implementiert. Loggt man sich seitdem ein, wird man automatisch gefragt, ob man einen Passkey auf dem gerade genutzten Gerät speichern möchte.

Eine Rückfrage von heise Security ergab nun, dass das Verfahren offenbar positiv angenommen wird: "In den ersten 4 Monaten, in denen Passkey nun zur Verfügung steht, wurden bereits über 1 Mio. Passkeys eingerichtet. Dabei wurden im gleichen Zeitraum mehr als 30 Mio. Anmeldungen mit Passkey durchgeführt", erklärte das Unternehmen.

Anzeige

Wer einen Passkey eingerichtet hat, kann sich komfortabel per Fingerabdruck, Face ID oder mit einer kurzen PIN einloggen. Die Eingabe eines Passworts ist dann nicht mehr nötig. Neben dem Komfort geht es bei Passkeys vor allem um die Sicherheit: Das Verfahren verwendet moderne Public-Key-Kryptografie und erstellt für jeden Account ein individuelles Schlüsselpaar.

Weiterlesen
  45 Aufrufe

Jahresrückblick: 467.000 neue schädliche Dateien täglich

Sicherheitslösungen von Kaspersky haben in diesem Jahr durchschnittlich 467.000 neue schädliche Dateien pro Tag entdeckt. Das entspricht einem Anstieg von 14 Prozent im Vergleich zum Vorjahr. Kaspersky zufolge steigt die Anzahl seit 2021 kontinuierlich an.

Der Großteil der Angriffe (93 Prozent) richtete sich gegen Windows. Zu den drei häufigsten Bedrohungen gehören Malware-Familien, die über Skripte und diverse MS-Office-Dokumentformate verbreitet wurden. Diese machten sechs Prozent aller täglich entdeckten schädlichen Dateien aus.

Kaspersky-Lösungen registrierten aber auch eine deutliche Zunahme von Malware, die sich gegen Windows richtet – ein Plus von 19 Prozent im Vergleich zu 2023. Besonders verbreitet waren Trojaner, die sich als legitime Software tarnen, mit einer Zunahme von 33 Prozent. Zudem wurde ein 2,5-facher Anstieg (150 Prozent) von Trojan-Droppern festgestellt – Programme, die unbemerkt weitere Schadsoftware auf die Systeme der Betroffenen einschleusen.

„Die Anzahl neuer Bedrohungen wächst jedes Jahr, da Angreifer kontinuierlich neue Malware, Techniken und Methoden entwickeln, um Nutzer und Unternehmen zu attackieren“, sagte Vladimir Kuskov, Head of Anti-Malware Research bei Kaspersky. „Dieses Jahr war keine Ausnahme. Es gab gefährliche Trends, wie Angriffe auf vertrauenswürdige Beziehungen und Lieferketten – einschließlich auf Open-Source-Pakete. Weiterhin gab es massive Phishing- und schädliche Kampagnen, die auf Nutzer sozialer Medien abzielten, und eine Zunahme von Banking-Malware. Hinzu kam der Einsatz von KI-Tools, um neue Malware zu generieren oder Phishing-Angriffe zu erleichtern.“

Original Autor: Stefan Beiersmann

  49 Aufrufe

Bundesnetzagentur mahnt zur Vorsicht beim Kauf smarter Geräte

Die Bundesnetzagentur mahnt Verbraucher zur Vorsicht bei der Nutzung von smarten Produkten wie Spielzeugen, Saugroboter, Brillen oder Futterautomaten. Diese könnten heimlich Audio- oder Videoaufnahmen erstellen und diese an andere Geräte übertragen. Zudem hat die Bundesnetzagentur erneut unterschiedliche Spionagegeräte auf dem Markt entdeckt, wie etwa Halsketten mit einem versteckten Mikrofon, Blumenkörbe mit Spionagekamera oder videofähige Rasierapparate.

Anzeige

"Menschen müssen klar und deutlich erkennen können, wenn sie aufgenommen werden, vor allem auch in Kinderzimmern", betont Klaus Müller, Präsident der Bundesnetzagentur.

In Deutschland sind smarte Alltagsprodukte laut Bundesnetzagentur verboten, wenn sie heimlich Audio- und/oder Videoaufnahmen erstellen und diese kabellos an andere Geräte übertragen können, beispielsweise über WLAN oder Bluetooth.

Die Bundesnetzagentur empfiehlt, sich vor dem Kauf von vernetzten Produkten mit eingebauter Kamera oder Mikrofon über deren Funktionsweise zu informieren. Menschen müssen eindeutig erkennen können, dass sie aufgenommen werden – beispielsweise durch sichtbare oder hörbare Signale während der Aufnahme. Darüber hinaus ist es hilfreich, die Produktbeschreibung und die Datenschutzbestimmungen der dazugehörigen Apps zu prüfen.

Weiterlesen
  41 Aufrufe

"Nicht verhandelbar": Microsoft beharrt auf TPM-2.0-Pflicht für Windows 11

Microsoft lockert die Systemanforderungen für Windows 11 nicht. Voraussetzung für das Betriebssystem sind demnach weiterhin Prozessoren, die TPM 2.0 (Trusted Platform Module) unterstützen. Die Sicherheitstechnologie sei für die Sicherheit und Zukunftsfähigkeit des Betriebssystems unerlässlich, schreibt Microsoft-Produktmanager Steven Hosking in einem Blog-Post. Es handele sich um einen nicht verhandelbaren Standard für die Zukunft von Windows, der den Bedarf an Datensicherheit decke.

Anzeige

Dieser Standard gilt jedoch nicht für alle Versionen von Windows. Während Windows 11 zwingend Prozessoren mit TPM 2.0 voraussetzt, entfällt die Anforderung bei Windows Server 2025. Die im November veröffentlichte Server-Variante des Betriebssystems lässt sich auch ohne den Sicherheitschip installieren. Er ist nur dann zwingend notwendig, wenn es einzelne Funktionen erfordern, etwa die BitLocker-Verschlüsselung.

Das Trusted Platform Module ist ein Sicherheitschip, der auf dem Mainboard angebracht oder in den Prozessor integriert ist. Praktisch alle aktuellen Computer auf dem Markt haben einen TPM-2.0-fähigen Prozessor. Bei Intel sind es CPUs ab der Coffee-Lake-Reihe, bei AMD ab Zen+. Windows 11 nutzt TPM zur Verschlüsselung von Laufwerken und Geräten, zum Schutz von Anmeldedaten oder als virtuelle Alternative für Smart Cards. Auch bei Secure Boot kommt TPM zum Einsatz.

Altgeräte mit der Vorversion TPM 1.2 sind von einem Upgrade ausgeschlossen. Microsoft empfiehlt den Kauf eines neuen Geräts, bevorzugt mit Copilot-fähigem KI-Beschleuniger. Nutzer können Windows 10 zunächst uneingeschränkt weiternutzen, erhalten ab Oktober kommenden Jahres aber keine Sicherheitsupdates mehr. Unternehmen können für drei Jahre eine Update-Unterstützung kaufen, Privatkunden für ein Jahr. Zuletzt machte Windows 10 laut Zahlen von Statcounter noch etwa zwei Drittel der Windows-Installationen auf deutschen Desktop-Rechnern aus.

Weiterlesen
  41 Aufrufe

Vier Lücken in HPE Aruba Networking ClearPass Policy Manager geschlossen

In aktuellen Versionen von HPE Aruba Networking ClearPass Policy Manager haben die Entwickler insgesamt vier Sicherheitslücken geschlossen. Im schlimmsten Fall können Angreifer eigenen Code ausführen und Systeme kompromittieren.

Anzeige

Admins verwalten damit Zugriffe in Netzwerken. Bekommt ein Angreifer an dieser Stelle einen Fuß in die Tür, kann das schwerwiegende Folgen haben. Wie aus einer Warnmeldung hervorgeht, sind Schadcode-Attacken aber nicht ohne Weiteres möglich.

Damit das klappt, müssen Angreifer bereits authentifiziert sein. Ist das gegeben, können sie aus der Ferne an zwei Schwachstellen (CVE-2024-51771 "hoch", CVE-2024-51772 "hoch") im webbasierten Management-Interface ansetzen. Über einen nicht näher beschriebenen Weg können sie dann eigene Befehle im zugrundeliegenden Betriebssystem ausführen.

Darüber hinaus sind noch Stored-XSS-Attacken (CVE-2024-51773 "mittel") und Command-Injection-Angriffe (CVE-2024-53672 "mittel") möglich.

Weiterlesen
  51 Aufrufe

USA: Acht Telekommunikationsdienste von Cyberangriffen betroffen

Die USA gehen davon aus, dass chinesische Cyberkriminelle in die Systeme von mindestens acht US-Telekommunikationsanbietern eingedrungen sind, um hochrangige Politiker auszuspionieren. "Aktuell glauben wir nicht, dass die chinesischen Akteure vollständig aus diesen Netzwerken entfernt wurden", sagte die stellvertretende nationale Sicherheitsberaterin Anne Neuberger US-Medien am Mittwoch (Ortszeit).

Anzeige

Es bestehe demnach weiter das Risiko anhaltender Beeinträchtigungen der Kommunikation. Die US-Sicherheitsbehörden gingen aber nicht davon aus, dass die Kriminellen auf geheime Informationen zugegriffen hätten, sagte Neuberger dem Sender CNN zufolge.

Es handelt sich um die höchste bislang öffentlich genannte Zahl von betroffenen Firmen, die die US-Regierung über das Ausmaß des Angriffs bekannt gemacht hat.

Am Mittwoch hatten Geheimdienstvertreter CNN zufolge Senatoren detailliert über den Hackerangriff informiert. Bereits im Oktober war bekannt geworden, dass mutmaßlich chinesische Hacker auch Telefondaten des designierten US-Präsidenten Donald Trump – damals noch Präsidentschaftskandidat – und seines Vizes J.D. Vance ins Visier genommen hatten.

Weiterlesen
  46 Aufrufe

Vorsicht vor Whatsapp-Phishing mit gespoofter Rufnummer

Mit einer gefälschten Absendernummer machen Cyber-Kriminelle Jagd auf deutschsprachige Whatsapp-Nutzer. Die Täter verschicken offenbar Phishing-SMS mit derselben Rufnummer, die auch Whatsapp zum Versand seiner Bestätigungscodes verwendet, wie ein Nutzer auf Reddit berichtet.

Anzeige

Da die Phishing-SMS dieselbe Absenderrufnummer wie WhatsApp verwendet, taucht sie unterhalb der echten WhatsApp-SMS auf.

(Bild: EmPiFree bei Reddit)

Die Folge: Das Smartphone zeigt die Phishing-Nachrichten unter der offiziellen Whatsapp-Nummer zusammen mit echten SMS des Anbieters an, die in der Vergangenheit eingetroffen sind. Als Absender erscheint "WhatsApp“.

Weiterlesen
  41 Aufrufe

Kaspersky-Prognose: Raffiniertere Deepfakes und mehr Abo-Betrug

Einer Studie des Sicherheitsdienstleisters Kaspersky zufolge wird die „zunehmende Normalisierung“ von Künstlicher Intelligenz zu raffinierteren personalisierten Deepfakes führen. Die Experten erwarten zudem, dass Cyberkriminelle die wachsende Vorliebe der Verbraucher für Abos für vermehrte Phishing-, Malware- und Infostealer-Angriffe nutzen.

KI wird Alltag

Künstliche Intelligenz wird der Studie zufolge im Jahr 2025 voraussichtlich zum Alltag gehören und nicht mehr als neue Technologie wahrgenommen werden. Betriebssysteme wie iOS und Android integrieren bereits erweiterte KI-Funktionen; Nutzer werden sich für ihre Kommunikation, Arbeitsabläufe und kreativen Prozesse zunehmend darauf verlassen. Dabei entstehen jedoch auch neue Risiken, insbesondere durch immer raffinierter werdende personalisierte Deepfakes, für die es noch keine zuverlässigen Erkennungstools gibt.

Monetarisierung von Daten

Die wachsende Bedeutung des Datenschutzes dürfte im kommenden Jahr zu neuen Regularien führen, die die Kontrolle der Nutzer über ihre persönlichen Daten stärken, so Kaspersky weiter. Im Jahr 2025 könnten Nutzer das Recht erhalten, ihre personenbezogenen Daten zu monetarisieren, sie leichter zwischen verschiedenen Plattformen zu übertragen und leichter ihrer Verarbeitung zuzustimmen.

Globale Regelwerke wie die Datenschutz-Grundverordnung der EU oder der California Privacy Rights Act (CPRA) werden weitere Reformen anstoßen. Des Weiteren dürften Nutzer mittels dezentraler Speichertechnologien mehr Autonomie über ihre Daten erhalten.

Steigender Abo-Betrug

Der Trend hin zu Abonnements erhöht das Risiko für Fake-Angebote. Cyberkriminelle werden gefälschte Dienste entwickeln, die vertrauenswürdige Plattformen imitieren. Diese sollen Nutzer zur Eingabe persönlicher oder finanzieller Daten verleiten, woraufhin ihre Identität und ihr Geld gestohlen werden. Zusätzlich begünstigt die Verbreitung von Dritt-Ressourcen, die vergünstigte oder kostenlose Abonnements anbieten, Phishing-Angriffe, Malware und Datenlecks.

Weiterlesen
  50 Aufrufe

Veeam Service Provider Console: Kritische Lücke gefährdet Kunden-Backups

Mit Veeam Service Provider Console (VSPC) können Admins unter anderem die Integrität von Kunden-Backups prüfen. Doch zwei Sicherheitslücken gefährden die Software. Nun haben die Entwickler eine reparierte Version veröffentlicht.

Anzeige

In einer Warnmeldung steht, dass Angreifer in beiden Fällen über eine Authentifizierung für den Zugriff auf den Managementagenten verfügen müssen. Ist diese Voraussetzung erfüllt, können sie Schadcode ausführen (CVE-2024-42448 "kritisch") oder auf NTLM-Hashes zugreifen (CVE-2024-42449 "hoch").

Diese Sicherheitsprobleme haben die Entwickler eigenen Angaben zufolge in der VSPC-Ausgabe 8.1.0.21999 gelöst. Alle vorigen Ausgaben des 8er- und 7er-Versionstrang seien bedroht. Veeam gibt an, dass davon auch Versionen betroffen sein können, die sich nicht mehr im Support befinden. Das haben sie aber nicht getestet. Der Softwarehersteller legt aus Sicherheitsgründen ein Upgrade nahe.

Anfang November dieses Jahres warnte Veeam vor Sicherheitslücken in Backup Enterprise Manager.

Weiterlesen
  46 Aufrufe

l+f: Ransomware legt Wodka-Hersteller trocken

Die Wodka-Hersteller Stoli USA und Kentucky Owl der Stoli Group haben Insolvenz angemeldet. Der Grund dafür ist ein Ransomwareangriff im Sommer dieses Jahres.

Anzeige

Das geht aus einem jüngst eingereichten Antrag hervor. Darin teilt der Präsident der US-Tochtergesellschaften mit, dass sie die IT-Infrastruktur nach der Attacke nicht mehr in den Griff bekommen haben. So war etwa das Enterprise-Resource-Planning-System (ERP) nicht mehr nutzbar und Prozesse mussten manuell gesteuert werden.

Das hat aber offensichtlich nicht ausreichend funktioniert, sodass unter anderem Kreditgeber keine Finanzberichte erhalten haben. Das führte zu Vorwürfen, dass die Wodka-Hersteller mit 78 Millionen US-Dollar im Zahlungsverzug sind.

Weiterlesen
  44 Aufrufe

Malware auf dem Mac: Sicherheitsforscher warnen vor neuen Trends

Künstliche Intelligenz und ein wachsendes Dienstleistungsgeschäft Cyberkrimineller sollen die Sicherheitslage auf dem Mac in den vergangenen Monaten deutlich verschärft haben. Zu diesem Ergebnis kommt ein jährlicher Bericht zur Cybersicherheit von Moonlock Lab, einem auf die Entdeckung neuer Malware und System-Schwachstellen spezialisierten Labor der ukrainischen Softwarefirma MacPaw, die unter anderem Antivirensoftware entwickelt.

Anzeige

KI-Chatbots wie ChatGPT versetzen laut dem Bericht selbst Menschen ohne jegliche Programmierkenntnisse in die Lage, Malware zu entwickeln. Als Beleg werden unter anderem Bildschirmfotos aus dem Darknet gezeigt, wo ein Nutzer mithilfe des OpenAI-Chatbots eine Malware programmieren ließ, die Kryptowährung auf einem Mac entwendet. Bislang, so die Autoren des Berichts, hätten die nötigen Programmierkenntnisse noch eine Hürde dargestellt, die Kriminelle auf dem Weg zur eigenen Malware erst einmal nehmen mussten. Jetzt beobachte man eine Dezentralisierung der Cyberkriminalität, die bedenklich sei.

Darüber hinaus gebe es auch einen Trend, dass jene, die über Programmierkenntnisse verfügen, ihre Malware als eine Dienstleistung anbieten. Malware-as-a-Service (MaaS) werde schon für Preise von rund 1500 US-Dollar pro Monat angeboten, während die Entwicklung von Malware durch andere bislang Zehntausende von Euro gekostet habe. Zudem gäbe es immer mehr Wettbewerb, was die Preise zusätzlich drücke. Die Entwickler solcher Malware hätten indessen eine Möglichkeit gefunden, Einnahmen zu generieren, ohne sich selbst die Finger schmutzig machen zu müssen.

Mit einem Anteil von 73 Prozent dominiere Adware – also Software, die unerwünschte Werbung anzeigt – die Malware-Statistik für den Mac, berichtet Moonlab aus seinen Erhebungen. Die schnellste Weiterentwicklung habe man im Bereich der Datendiebstähle beobachtet. Ransomware sei nur in 0,01 Prozent der Erkennungen der Antivirensoftware auf Geräten von Privatnutzern verzeichnet worden.

Weiterlesen
  38 Aufrufe

Jetzt patchen! Exploit für kritische Lücke in Whatsup Gold in Umlauf

Admins sollten ihre Instanzen mit Whatsup Gold zügig vor möglichen Attacken schützen. Eine "kritische" Sicherheitslücke ist seit September dieses Jahres bekannt. Seitdem gibt es auch ein Sicherheitsupdate. Weil mittlerweile Exploitcode für die Schwachstelle kursiert, könnten Attacken bevorstehen.

Anzeige

Wie Sicherheitsforscher von Tenable in einem Bericht erläutern , können entfernte Angreifer ohne Authentifizierung an der Lücke (CVE-2024-8785 "kritisch") ansetzen. Das Sicherheitsproblem findet sich ihnen zufolge in der Netzwerk-Management-API NmAPI.exe, die über das Netzwerk erreichbar ist. Weil Eingaben nicht ausreichend überprüft werden, können Angreifer dort mit präparierten Anfragen ansetzen.

Klappt das, können sie Einträge in der Windows Registry überschreiben, sodass die Konfigurationseinstellungen der Monitoring-Software etwa von einer von Angreifern kontrollierten Freigabe geladen werden. Auf diesem Weg kann es zur Ausführung von Schadcode kommen, was in der Regel zur vollständigen Kompromittierung von Systemen führt.

Ein Sicherheitspatch ist schon seit September 2024 verfügbar. In einer Warnmeldung geben die Entwickler an, dass Whatsup Gold 24.0.1 gegen die geschilderte Attacke geschützt ist. Alle vorigen Ausgaben sollen angreifbar sein. Darin haben die Entwickler noch fünf weitere Schwachstellen geschlossen.

Weiterlesen
  42 Aufrufe

Forschende beheben SIEM-Defizite mit ML-Lösung

Sicherheitsinformations- und Ereignismanagement-Systeme (SIEM) gelten als probates Mittel, um Cyberattacken mithilfe von Detektionsregeln beziehungsweise Signaturen aufzuklären. Forschende des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie FKIE haben jedoch in umfangreichen Tests nachgewiesen, dass Angreifende viele solcher Signaturen leicht umgehen können. Mit einem KI-gestützten Open-Source-System wollen die Forschenden hier Abhilfe schaffen. Die Lösung trägt den Namen AMIDES und soll Angriffe erkennen können, die von klassischen Signaturen übersehen werden.

Bislang basiert die Detektion von Cyberangriffen in Organisationen überwiegend auf Signaturen bzw. Detektionsregeln, die von Sicherheitsexperten auf Basis bereits bekannter Angriffe erstellt wurden. Diese Signaturen sind das Herzstück der verschiedenen SIEM-Systeme. Zwar lassen sich alternativ auch Detektionsmethoden aus dem Bereich der Anomalie-Erkennung einsetzen, um Angriffe trotz umgangener Signaturen aufzuspüren. Daraus resultieren jedoch häufig viele Fehlalarme, die aufgrund der hohen Anzahl gar nicht alle untersucht werden können.

Missbrauchserkennung

Um das Problem zu lösen, haben die Forschenden des Fraunhofer FKIE ein System entwickelt, das mithilfe von Machine Learning Angriffe erkennt, die existierenden Signaturen ähnlich sind: Mit AMIDES, kurz für Adaptive Misuse Detection System, führen die Expertinnen und Experten ein Konzept zur adaptiven Missbrauchserkennung ein, das überwachtes Maschinelles Lernen nutzt, um potenzielle Regelumgehungen zu erkennen und gleichzeitig darauf optimiert ist, Fehlalarme auf ein Minimum zu reduzieren. Die frei verfügbare Open-Source-Software adressiert vor allem größere Organisationen, die bereits über ein zentrales Sicherheitsmonitoring verfügen und dieses verbessern möchten.

»Signaturen sind zwar das wichtigste Mittel, um Cyberangriffe in Unternehmensnetzwerken zu erkennen, sie sind aber kein Allheilmittel«, sagt Rafael Uetz, Wissenschaftler am Fraunhofer FKIE und Leiter der Forschungsgruppe »Intrusion Detection and Analysis«. »Bösartige Tätigkeiten können häufig unerkannt durchgeführt werden, indem der Angriff leicht modifiziert wird. Angreifende versuchen, der Erkennung durch verschiedene Verschleierungstechniken zu entgehen, etwa durch das Einfügen von Dummy-Zeichen in Befehlszeilen. Der Angreifer schreibt den Befehl so, dass die Signatur ihn nicht findet«, erläutert der Forscher das Vorgehen der Cyberkriminellen.

An diesem Punkt setzt AMIDES an: Die Software führt eine Merkmalsextraktion auf Daten sicherheitsrelevanter Ereignisse durch, zum Beispiel auf der Befehlszeile neu gestarteter Programme. Mithilfe von Machine Learning werden dann Befehlszeilen erkannt, die denen ähneln, auf die die Detektionsregeln anschlagen, die aber nicht genau diese Signaturen treffen. In diesem Fall würde AMIDES einen Alarm auslösen. Der Ansatz wird als adaptive Missbrauchserkennung bezeichnet, da er sich an die Zielumgebung anpasst, indem er auf ihr Normalverhalten trainiert wird, um potenzielle Angriffe von harmlosen Ereignissen richtig zu unterscheiden.

Weiterlesen
  42 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image