Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Solarwinds Web Help Desk: Schadcode kann Host-System infizieren

Unternehmen, die Kundenprobleme mit Solarwinds Web Help Desk (WHD) managen, sollten die aktuelle Version zeitnah installieren. Darin haben die Entwickler eine als "kritisch" eingestufte Schwachstelle geschlossen.

Anzeige

In einer Warnmeldung schreiben sie, dass die Lücke (CVE-2024-28986) Schadcode-Attacken auf das Host-System ermöglicht. Wie das im Detail ablaufen könnte, ist bislang unklar. Attacken sollen ohne Authentifizierung stattfinden können. Das konnten die Entwickler eigenen Angaben zufolge aber nicht reproduzieren. Derzeit gibt es keine Berichte über laufende Angriffe.

Um Attacken vorzubeugen, müssen Admins zuerst WHD 12.8.3 installieren, um diese Version dann mit 12.8.3 Hotfix 1 abzusichern. Wie das Update funktioniert, führen die Entwickler in der Warnmeldung aus.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Original Autor: Dennis Schirrmacher

  132 Aufrufe

Adobe schließt kritische Lücken in Reader und Acrobat

Adobe hat Sicherheitsupdates für seine PDF-Anwendungen veröffentlicht. Sie beseitigen insgesamt zwölf Anfälligkeiten. Acht Schwachstellen stuft das Unternehmen als kritisch ein, von vier Bugs geht ein hohes Sicherheitsrisiko aus. Ein Angreifer kann unter Umständen aus der Ferne Schadcode einschleusen und ausführen.

Als kritisch gelten unter anderem fünf Use-after-free-Bugs. Sie haben einen CVSS-Score von bis zu 8,1 von 10 möglichen Punkten. Zudem korrigieren die Entwickler einen Fehler, der zu einer fehlerhaften Überprüfung von digitalen Signaturen führt – was wiederum eine nicht autorisierte Ausweitung von Benutzerrechten erlaubt. Um die Sicherheitslücken auszunutzen, muss ein Angreifer in der Regel ein Opfer lediglich dazu verleiten, eine speziell gestalte PDF-Datei zu öffnen.

Betroffen sind Acrobat DC und Reader DC in den Versionen 24.002.20991 und früher für Windows sowie 24.002.20964 für macOS. Außerdem sind Acrobat Classic 2024, Acrobat Classic 2020 und Reader Classic 2020 angreifbar.

Nutzer sollten nun zeitnah auf die fehlerbereinigten Versionen der PDF-Anwendungen umsteigen. Adobe verteilt bereits Acrobat DC und Reader DC 24.0002.21005 für Windows und macOS sowie Acrobat Classic 2024 Version 24.001.30159 für Windows und macOS und Acrobat 2020 und Reader 2020 Version 20.005.30655 für Windows und macOS.

Original Autor: Stefan Beiersmann

  140 Aufrufe

l+f: Mit gehackter Fahrradgangschaltung auf den letzten Platz

Schöne neue Welt: Mittlerweile benötigen sogar Fahrradgangschaltungen Firmware-Updates, um Softwareschwachstellen zu schließen. So geschehen im Fall der Wireless-Gangschaltung Di2 von Shimano, die auch Radprofis nutzen.

Anzeige

Um einen Gang zu wechseln, sendet die Di2 Schaltbefehle vom Lenker via Funk an die Schaltung am Hinterrad. Dieses Funksignal konnten Sicherheitsforscher von der University of California San Diego eigenen Angaben zufolge abfangen.

Im Zuge einer Replay-Attacke kann sich ein Komplize eines auf den Sieg versessenen Radrennfahrers am Streckenrand positionieren und mit dem aufgezeichneten Signal gezielt, etwa bei einer Steigung, einen Konkurrenten durch das Umschalten in einen schweren Gang ausbremsen.

Sicherheitsforscher konnten Funksignale der Shimano-Ganschaltung Di2 mitschneiden und so Schaltvorgänge auslösen.

Weiterlesen
  123 Aufrufe

IBM-Entwickler schließen Schadcode-Lücken in AIX und App Connect

Angreifer können über Schwachstellen in IBM AIX und App Connect Enterprise Certified Container etwa Schadcode ausführen und so Systeme kompromittieren.

Anzeige

In IBMs Unix-Betriebssystem AIX haben die Entwickler zwei Python-Sicherheitslücken (CVE-2024-45803 "mittel", CVE-2024-6345 "hoch") geschlossen. Klickt ein Opfer auf einen von einem Angreifer präparierten Link, kann im Kontext von pypa/setuptools Schadcode auf PCs gelangen. Der Grund ist ein Fehler im package_index-Modul. Wie Admins Systeme dagegen absichern, steht in einer Warnmeldung.

Die Integrationssoftware App Connect Enterprise Certified ist über vier Sicherheitslücken attackierbar. Im schlimmsten Fall können Angreifer darüber Systeme via DoS-Attacke lahmlegen oder sogar eigenen Code ausführen (CVE-2024-48622 "hoch").

Die Entwickler versichern, die Sicherheitsprobleme in den folgenden Versionen gelöst zu haben:

Weiterlesen
  141 Aufrufe

Bundestrojaner: BKA soll in Wohnungen einbrechen und so IT ausspähen dürfen

Bundesinnenministerin Nancy Faeser (SPD) will dem Bundeskriminalamt (BKA) zur Terrorismusbekämpfung die Befugnis geben, künftig heimlich Wohnungen zu betreten und zu durchsuchen. Damit soll es den Ermittlern leichter fallen, den Bundestrojaner für heimliche Online-Durchsuchungen und zur Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) auf IT-Systemen wie Smartphones oder Computern zu installieren. Das geht laut dem Redaktionsnetzwerk Deutschland und der taz aus dem Entwurf zur Novelle des BKA-Gesetzes hervor, der bisher vor allem wegen der geplanten Erlaubnis zur biometrischen Gesichtserkennung im Zentrum der Kritik steht.

Anzeige

Mit der Quellen-TKÜ kann die Polizei die laufende Kommunikation via Messenger wie WhatsApp, Signal oder Threema direkt auf einem Zielsystem abhören, bevor diese ver- oder nachdem sie entschlüsselt wird. Bei einer weitergehenden Online-Durchsuchung dürfen die Beamten auch auf gespeicherte Dateien zugreifen. Für die beiden Instrumente müssen in der Regel Staatstrojaner eingesetzt und Sicherheitslücken ausgenützt werden. Oft gibt es aber Probleme bei einer Ferninstallation solcher Überwachungssoftware, wenn Zielsysteme wirksam gegen Angriffe von außen geschützt sind. Im Entwurf des Bundesinnenministeriums heißt es daher, das BKA müsse "physisch auf die IT-Geräte einwirken" können. Das sei die "technisch sicherste und schnellste Möglichkeit zur Implementierung" des Bundestrojaners ohne "Mitwirkung der Zielperson".

In dem Gesetzentwurf würden das Betretungsrecht und die damit verknüpften Kompetenzen als letztes Mittel (Ultima Ratio) vorgesehen und eine richterliche Genehmigung im Einzelfall verlangt, heißt es in den Berichten. Ziel könne es auch sein, mögliche "Tatmittel" vor geplanten Anschlägen auszutauschen oder unbrauchbar zu machen. Ganz neu ist der Ansatz nicht: Der Landtag von Mecklenburg-Vorpommern beschloss bereits 2022 eine Reform des Polizeigesetzes, die ein "Betretungsrecht" der Ordnungshüter für Online-Durchsuchungen enthält.

Der damalige Bundesinnenminister Horst Seehofer wollte 2019 mit einer Novelle des Verfassungsschutzrechts Staatsschützern und BND-Agenten ermöglichen, heimlich in Wohnungen einzudringen, um dort Bundestrojaner auf Endgeräte aufzuspielen. Wolfgang Schäuble (CDU) hatte schon 2008 als Bundesinnenminister eine Debatte darüber gefordert. 2018 plädierten die Justizminister der Länder für ein Betretungsrecht, um Staatstrojaner auf zu überwachende Geräte zu bekommen. Das BKA machte jahrelang von seiner Befugnis zum Hacken von IT-Systemen keinen Gebrauch. Ermittler der Behörde sollen 2022 aber Spionageprogramme gegen ein Reichsbürger-Netzwerk verwendet haben. Der vom BKA zunächst in Eigenregie für 5,77 Millionen Euro gebaute Bundestrojaner taugte nur zur Quellen-TKÜ. Eine leistungsstärkere Version war lange in der Mache. Parallel beschaffte sich das Amt etwa den Staatstrojaner FinSpy.

Weiterlesen
  122 Aufrufe

US-Behörde: NIST verabschiedet Standards für Post-Quantum-Verschlüsselung

Die US-amerikanische Standardisierungsbehörde NIST (National Institute of Standards and Technology) hat eine erste Sammlung von Verschlüsselungswerkzeugen veröffentlicht, die auch Angriffen durch Quantenrechner widerstehen und so zukunftssicher sein sollen.

Anzeige

Bei einem Auswahlverfahren, das mehr als zwei Jahre in Anspruch nahm, sind drei US-Bundesstandards zur Informationsverarbeitung (FIPS, Federal Information Processing Standard), entstanden. Diese umfassen Verfahren zu Schlüsselaustausch und Verschlüsselung:

FIPS-203 basiert auf dem Kyber-Algorithmus mit Schlüssellängen von 512, 768 und 1024 Bit. Die Algorithmen wurden in ML-KEM (Module Lattice-Based Key-Encapsulation Mechanism) umbenannt; der Standard soll als primärer Verschlüsselungsstandard dienen.FIPS-204 ist ebenfalls nach einem mythischen Kristall benannt und beinhaltet die nun als ML-DSA (Module-Lattice-Based Digital Signature Algorithm) bezeichneten quantensicheren Algorithmen für digitale Unterschrift,FIPS-205 schließlich basiert auf dem Sphincs+-Algorithmus, nun in SLH-DSA umbenannt (Stateless hash-based Digital Signature Algorithm). Dieser Standard dient als Backup, falls die Algorithmen in FIPS 204 sich als angreifbar entpuppen sollten

Sowohl FIPS-203 als auch FIPS-204 enthalten Algorithmen aus der Initiative CRYSTALS (Cryptographic Suite for Algebraic Lattices), einem Forschungszusammenschluss verschiedener Universitäten, Hard- und Softwarehersteller. Die ursprünglichen Namen der Algorithmen entstammen dabei den wohl bekanntesten Science-Fiction-Universen. Kyber-Kristalle werden in der Star-Wars-Reihe zum Bau von Lichtschwertern benötigt und ohne Dilithium-Kristalle konnten weder der legendäre Scotty noch seine Nachfolger auf dem Raumschiff Enterprise den Warp-Antrieb anschmeißen.

Quantensichere Verschlüsselung ist für Sicherheitexperten und -Behörden ein wichtiges Thema. So forderte das BSI gemeinsam mit europäischen Partnern, vom Alternativverfahren Quantum Key Distribution (QKD) abzurücken und stattdessen eiligst erste Implementationen von Post-Quanten-Kryptografie anzugehen. Dan J. Bernstein, renommierter Kryptologe und Open-Source-Urgestein, kritisierte derweil dumme Rechenfehler bei der Auswahl von Kyber-512, das nun als ML-KEM-512 in FIPS 203 Teil der neuen Standards geworden ist.

Weiterlesen
  122 Aufrufe

USA: Drohende Klage wegen Datenleak, Milliarden personenbezogene Daten betroffen

Ein Datenleck bei dem auf Hintergrundchecks spezialisierten Unternehmen National Public Data hat Konsequenzen, denn ein Betroffener namens Christopher Hofmann plant eine Sammelklage beim Bundesbezirksgericht für Südflorida gegen Jerico Pictures Inc., das Mutterunternehmen von National Public Data. Er wirft dem Unternehmen vor, personenbezogene Daten von Milliarden Menschen nicht ausreichend geschützt zu haben.

Anzeige

Hofmann habe um den 24. Juli herum eine Benachrichtigung seines Identitätsschutzsystems erhalten. Demnach seien seine persönlichen Daten im Untergrundforum aufgetaucht. Zu den Daten gehören unter anderem Vor- und Nachnamen, frühere und aktuelle Adressen der vergangenen 30 Jahre, Sozialversicherungsnummern und Informationen über Angehörige. Das berichtet unter anderem The Register.

Aufgrund bisheriger Erkenntnisse ist Hofmann überzeugt, dass die Daten allerdings auch "aus nicht-öffentlichen Quellen zusammengetragen wurden". Er habe keine Daten an National Public Data weitergegeben. Die Daten seien vom Unternehmen fahrlässig gespeichert und deren Inhalte nicht verschlüsselt worden. Ebenso sei auch keine Schwärzung sensibler Informationen erfolgt, was Betrugsmaschen Tür und Tor öffnen kann und ein "anhaltendes Risiko" darstelle. Der Kläger fordert, dass das Unternehmen die betroffenen Personen aus der Datenbank entfernt und künftig strengere Sicherheitsmaßnahmen ergreift.

Nach Informationen von The Register werden derzeit alle Daten kostenlos im Untergrundforum angeboten. Die Cyberkriminellen behaupten, dass der Leak 2,9 Milliarden Datensätze mit Informationen von Bürgern aus den USA, Kanada und Großbritannien umfasst.

Weiterlesen
  113 Aufrufe

Ivanti schließt unter anderem Admin-Lücke in Virtual Traffic Manager

Angreifer können an mehreren Schwachstellen in Ivanti Avalanche, Neurons for ITSM oder Virtual Traffic Manager (vTM) ansetzen und Systeme im schlimmsten Fall vollständig kompromittieren. Ivanti versichert, dass ihnen derzeit keine Informationen über laufende Attacken vorliegen.

Anzeige

Wie aus einer Warnmeldung hervorgeht, können entfernte Angreifer ohne Authentifizierung durch das erfolgreiche Ausnutzen einer "kritischen" Schwachstelle (CVE-2024-7593) in vTM Nutzer mit Admin-Rechten erstellen. Attacken sind den Entwicklern zufolge möglich, weil ein Authentifizierungsalgorithmus falsch implementiert wurde.

Bislang sind nur die abgesicherten vTM-Ausgaben 22.2R1 und 22.7R7 erschienen. Weitere Sicherheitsupdates sollen ab der kommenden Woche erscheinen. Um die Angriffsfläche für diese und ähnliche Attacken zu verkleinern, sollten Admins generell den Zugriff auf Managementinterfaces einschränken.

Eine "kritische" Lücke (CVE-2024-7569) betrifft Neurons for ITSM, wenn OIDC-Authentifizierung genutzt wird, schreiben die Entwickler in einem Beitrag. Ist das der Fall, kann ein Angreifer ohne Anmeldung das OIDC Client Secret einsehen. Eine zweite Schwachstelle (CVE-2024-7570 "hoch") erlaubt es einem entfernten Angreifer, sich als Man-in-the-Middle in Verbindungen einzuklinken. Hier schaffen die Ausgaben 2023.2 W/ patch, 2023.3 w/ patch und 2023.4 w/ patch Abhilfe.

Weiterlesen
  98 Aufrufe

"Passwort" Folge 10: Nordkoreas digitale Armeen

Nordkorea ist abgeschottet wie kaum ein anderes Land auf der Welt. In der öffentlichen Wahrnehmung gilt es oft als technologisch rückständig und fällt durch martialische Außenpolitik auf. Doch in den vergangenen anderthalb Jahrzehnten hat die selbst ernannte "demokratische Volksrepublik" eine schlagkräftige Cyber-Armee aufgebaut, die nicht nur spektakuläre Angriffe durchführt, sondern auch reichlich Devisen ins Land bringt.

Anzeige

Bereits die zehnte Folge ihres Security-Podcasts bestreiten die Hosts Christopher Kunz und Sylvester Tremmel gemeinsam. Zum Anlass dieses Mini-Jubiläums schauen sie auf die koreanische Halbinsel und werfen einen Blick hinter die Fassade nordkoreanischer Cyberkrieger. Wer die Lazarus-Gruppe, Andariel und Bluenoroff sind, erfahren die Hörer genauso wie Details zu deren aufsehenerregenden Angriffen auf Sonys Filmstudio, Windows-PCs und Forschungsinstitute.

Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Podcasts immer laden

Weiterlesen
  86 Aufrufe

Noch kein Patch: Sicherheitsforscher beraubt Windows sämtlicher Schutzfunktionen

Ein Sicherheitsforscher von SafeBreach hat das Tool "Windows Downdate" entwickelt, mit dem er die Windows-Update-Funktion unter Windows 10, 11 und den Server-Varianten dazu missbrauchen kann, beliebige alte und damit verwundbare Vorgängerversionen sämtlicher Windows-Komponenten zu installieren. Doch so eine Attacke ist nicht ohne Weiteres möglich.

Anzeige

Der Forscher demonstrierte im Rahmen der Hacker-Konferenzen Black Hat und Def Con 32, wie Angreifer etwa besonders sensible Systembestandteile wie den Windows-Kernel oder den Hypervisor downgraden können. Weiterführende Details zu seiner Attacke beschreibt er in einem Blogbeitrag.

Er gibt an, die Schwachstelle im Februar an Microsoft gemeldet zu haben. Derzeit gibt es noch keine Sicherheitsupdates, die die Schwachstelle komplett schließen. Im Zuge des aktuellen Patchdays hat Microsoft immerhin zwei Sicherheitshinweise veröffentlicht (CVE-2024-38202 und CVE-2024-21302), mit denen sich das Risiko senken lassen soll.

Der Sicherheitsforscher Alon Leviev konnte manipulierend in den Windows-Update-Prozess eingreifen, um essenzielle Systemkomponenten durch verwundbare Versionen zu ersetzen.

Weiterlesen
  130 Aufrufe

Elektronische Schließfächer in Hotels & Co. gehackt – Abhilfe nur schwer möglich

Zwei Hardware-Hacker haben unter anderem diverse Schlösser des in Europa gängigen Herstellers Schulte-Schlagbaum AG (SAG) und des in den USA weitverbreiteten Anbieters Digilock auf Schwachstellen abgeklopft. Sämtliche überprüfte Schlösser funktionieren offline und stammen aus den Jahren 2014 bis 2023. Man findet sie unter anderem in Fitnessstudios, Krankenhäusern, Banken, Hotels und Bibliotheken.

Anzeige

Das Ergebnis präsentierten sie im Rahmen der Hacker-Konferenz Def Con 32. Die Schlösser lassen sich vergleichsweise einfach aushebeln. Im Gespräch mit heise security betonte Dennis Giese, dass dies kein auf Digilock und SAG beschränktes Problem sei, sondern auch andere Hersteller betrifft.

Dies ist umso fataler, da sich die gefundenen Einfallstore unter Umständen nur schwer aus der Welt schaffen lassen. Stellt ein Hersteller überhaupt ein Firmware-Update bereit – wie Digilock es als Reaktion auf die Hacks plant – müsste jedes Schloss aufgeschraubt, mit einem Programmiergerät verbunden und mit neuer Software versehen werden.

Beispiele für geknackte elektronische Schlösser, die unter anderem in Schließfächern in öffentlichen Einrichtungen verwendet werden.

Weiterlesen
  98 Aufrufe

heise-Angebot: iX-Workshop KRITIS: Zusätzliche Prüfverfahrenskompetenz für § 8a BSIG

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

September
11.09. – 12.09.2024
Online-Workshop, 09:00 – 17:00 Uhr
November
13.11. – 14.11.2024
Online-Workshop, 09:00 – 17:00 Uhr
10 % Frühbucher-Rabatt bis zum 15. Okt. 2024

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.

Weiterlesen
  137 Aufrufe

Patchday Adobe: Acrobat, Illustrator & Co. als Schlupfloch für Schadcode

Angreifer können an Schwachstellen in Acrobat und Reader, Bridge, Commerce, Dimension, Illustrator, InCopy, InDesign, Photoshop, Substance 3D Designer, Substance 3D Sampler und Substance 3D Stager ansetzen.

Anzeige

In vielen Fällen können Angreifer durch das erfolgreiche Ausnutzen der Sicherheitslücken Schadcode auf Systeme schieben und ausführen. Den Großteil der Lücken stuft Adobe als "kritisch" ein.

In einigen Fällen können sich Angreifer auch höhere Rechte verschaffen oder Sicherheitsfeatures umgehen. Wie Attacken im Detail ablaufen könnten, führen die Entwickler derzeit nicht aus. Bislang gibt es keine Informationen zu Attacken.

Da eine Auflistung der abgesicherten Versionen den Umfang dieser Meldung sprengt, müssen Admins die verlinkten Warnmeldungen von Adobe studieren.

Weiterlesen
  119 Aufrufe

Patchday Microsoft: Angreifer attackieren Office und Windows mit Schadcode

Derzeit haben Angreifer Office und verschiedene Windows- und Windows-Server-Versionen im Visier. In einigen Fällen kann Schadcode auf Computer gelangen und Systeme kompromittieren. Sicherheitspatches stehen über ein Windows-Update zur Verfügung. In der Regel erfolgt die Installation automatisch. Aufgrund der Angriffe sollten Admins den Patchstatus aber dringend prüfen.

Anzeige

Insgesamt nutzen Angreifer derzeit sechs Softwareschwachstellen aus. Eine davon (CVE-2024-38189 "hoch") betrifft Office LTSC 2021, Project 2016, 365 Apps for Enterprise und Office 2019 in den 32- und 64-Bit-Versionen.

Damit ein Angriff erfolgreich ist, muss ein Opfer aber eine mit Makros präparierte Office-Project-Datei öffnen. Außerdem muss die Schutzfunktion, die Makros in aus dem Internet heruntergeladenen Dokumenten verbietet, deaktiviert sein. Ist das gegeben und ein Opfer öffnet so eine etwa via E-Mail verschickte Datei, gelangt Schadcode auf PCs. Über die Preview-Funktion sollen Angreifer keine Attacken einleiten können.

Die weiteren ausgenutzten Lücken betreffen diverse Windows- und Windows-Server-Ausgaben. Darunter sind unter anderem Windows 11 22H2. In einem Fall (CVE-2024-38178 "hoch") müssen Angreifer Opfer dazu bringen, dass Edge im Internet-Explorer-Modus läuft. Ist das der Fall, schieben sie Opfern einen präparierten Link unter. Ein Klick darauf führt zu einem Speicherfehler in der Komponente Scripting Engine und es kommt zur Ausführung von Schadcode.

Weiterlesen
  84 Aufrufe

Cybercrime mit Angler Exploit-Kit: Bandenführer kommt in den USA vor Gericht

Mit dem Exploit-Kit Angler haben Cyberkriminelle über viele Jahre Computer und Mobilgeräte für Malvertising und Ransomware-Erpressungen missbraucht. Doch jetzt wird der Anführer dieser Bande in den USA angeklagt, nachdem er letztes Jahr in Spanien festgenommen und nun von Polen in die Vereinigten Staaten ausgeliefert wurde. Ihm droht eine langjährige Haftstrafe wegen Überweisungs- und Computerbetrug sowie Identitätsdiebstahl.

Anzeige

Maksim S. mit der doppelten Staatsbürgerschaft Weißrusslands und der Ukraine wird beschuldigt, über mehrere Jahre zwei verschiedene Cybercrime-Systeme betrieben zu haben. Dabei habe er Online-Spitznamen wie "J.P. Morgan", "xxx" und "lansky" genutzt. Gemeinsam mit Volodymyr K., ebenfalls mit weißrussischer und ukrainischer Staatsbürgerschaft, und Andrej T. aus Russland habe Maksim S. von Oktober 2013 bis mindestens März 2022 mithilfe des Angler-Exploit-Kits Malware durch Online-Werbeanzeigen verteilt (Malvertising) und erbeutete Daten von Opfern im Darknet verkauft. Volodymyr K. und Andrej T. sind bislang allerdings nicht gefasst.

Das Exploit-Kit Angler hat im letzten Jahrzehnt zahlreiche Schlagzeilen gemacht. Auf Basis dieses Exploits haben etwa Webseiten von AOL, BBC und MSN im Rahmen einer Malvertising-Kampagne Erpressungs-Trojaner verteilt. Manipulierte Werbeanzeigen haben damals zehntausende Besucher mit Verschlüsselungs-Trojanern infiziert. Daneben hat der Exploit-Kit Angler Android-Trojaner verteilt und Opfer mit Kinderpornos erpresst. Durch die mit dem Exploit-Kit verteilten Erpressungs-Trojaner hätten die Täter Millionen gemacht.

Die Werbeanzeigen erschienen legitim, hätten nichts ahnenden Nutzer aber zu Webseiten geleitet, die mithilfe des Exploit-Kits Angler Malware auf die Geräte der Anwender geladen oder Nutzerdaten abgefragt hätten. So wurden die Anwender etwa fälschlich vor Virusinfektionen gewarnt. Die erbeuteten Daten hätten die Angeklagten in russischen Cybercrime-Foren zum Verkauf angeboten, um diese etwa erpressen zu können oder weiteren Zugang zu Konten oder Geräten zu erlangen. Diese Anklage ist beim Bezirksgericht in New Jersey anhängig (Aktenzeichen 2013R01333/AMT/AAH/LKB/CG).

Weiterlesen
  136 Aufrufe

August-Patchday: Microsoft schließt mehrere Zero-Day-Lücken

Microsoft hat die Updates des August-Patchdays zum Download freigegeben. Insgesamt verteilt der Softwarekonzern Fixes für 91 Schwachstellen in seinen Produkten. Bei sechs Schwachstellen warnt das Unternehmen vor bereits aktiven Angriffen. Darüber hinaus sind Details zu vier weiteren Anfälligkeiten öffentlich bekannt.

Die Zero-Day-Lücken stecken allen unterstützten Versionen von Windows und Windows Server, Microsoft Project und der Sicherheitsfunktion Mark of the Web. Letztere führt dazu, dass der SmartScreen-Filter umgangen werden kann – Nutzer werden nicht vor einem möglicherweise gefährlichen Dateidownload gewarnt. Zudem nutzen Hacker bereits den Umstand aus, dass der Windows-Kernel eine nicht autorisierte Ausweitung von Benutzerrechten ermöglicht.

Darüber hinaus beseitigt Microsoft neun kritische Sicherheitslücken. Betroffen sind Azure Health Bot, Copilot Studio, Dynamics 365 und erneut alle unterstützten Versionen von Windows und Windows Server. Die Patches sollen das Einschleusen und Ausführen von Schadcode aus der Ferne, die Preisgabe vertraulicher Informationen sowie das Umgehen von Sicherheitsfunktionen verhindern.

Weitere Schwachstellen stecken in .NET und Visual Studio, Azure, Microsoft DWM Core Library, Edge, Excel, Office Visio, Outlook, PowerPoint und Teams. Außerdem sind der Windows App Installer, Bluetooth-Treiber, Windows DNS, Hyper-V, IP-Routing, Kerberos, NAT und die Druckwarteschlange angreifbar.

Die Updates stehen über die üblichen Quellen wie Windows Update, WSUS und Microsoft Update Catalog zum Download bereit. Windows 11 und Windows 10 erhalten die Patches als kumulatives Update.

Original Autor: Stefan Beiersmann

  83 Aufrufe

Sinkclose: Sicherheitslücke in Millionen von AMD-CPUs

AMD hat eine Sicherheitswarnung für bestimmte PC- und Server-Prozessoren ausgesprochen. Angreifer können unter Umständen die Konfiguration des System Management Mode (SMM) verändern – sogar, wenn die Sicherheitsfunktion SMM Lock aktiv ist. Ein von AMD bereitgestellter Patch lässt sich nur per BIOS-Update installieren. Für einige ältere angreifbare CPU-Modelle stellt AMD allerdings keinen Patch zur Verfügung.

Betroffen sind unter anderem Epyc-Serverprozessoren der der 1., 2., 3. und 4. Generation, sowie einige Epyc und Ryzen Embedded-Prozessoren und die Data-Center-Grafik Instinct MI300A. Im Client-Bereich sind unter Ryzen-Prozessoren der Serien 3000, 4000, 5000, 7000 und 8000 und auch Threadripper-CPUs der Serien 3000 und 7000 angreifbar. Zudem steckt der Fehler in Threadripper-Pro-CPUs (Castle Peak und Chagall) und mobilen CPUs der Serien Athlon 3000, Ryzen 3000, 4000, 5000, 6000, 7020, 7030, 7035, 7040 und 7045. Eine vollständige Übersicht hält AMD in seiner Sicherheitswarnung bereit. Keinen Fix plant AMD für CPUs der Ryzen 3000 Series (Codename Matisse).

Entdeckt wurde die Schwachstelle von Forschern des Sicherheitsanbieters IOActive. Auf seiner Website beschreibt das Unternehmen den System Management Mode als „einen der leistungsstärksten Ausführungsmodi der x86-Architektur. Code auf dieser Ebene ist für den Hypervisor und die Schutzmechanismen auf Betriebssystemebene, einschließlich Anti-Cheat-Engines und Anti-Viren-Systeme, unsichtbar.“

Allerdings sind die Hürden für einen erfolgreichen Angriff auf die Sinkclose-Lücke sehr hoch: Hacker müssten sich zuvor Zugriff auf den Kernel verschaffen, was ja bereits einer vollständigen Kompromittierung eines Systems entspricht. Dann könnte Schadcode allerdings unbemerkt und dauerhaft implantiert werden. Nicht einmal eine Neuinstallation des Betriebssystems würde die Malware entfernen.

Original Autor: Stefan Beiersmann

  101 Aufrufe

Hacker kopieren legitime KI-Tools

Danach wenden sie Tricks an, um ihre digitalen Wanzen an ihre Opfer zu bringen.

Fake-Werbung in sozialen Netzwerken

Im ersten Schritt übernehmen Hacker den Social-Media-Auftritt eines Unternehmens, beispielsweise im Rahmen einer erfolgreichen Phishing-Attacke. Danach schalten die Hacker über diesen Kanal offensiv Werbung, die zum Beispiel die neueste Version von Googles KI-Assistenten Bard vorstellt. Wollen Nutzer die neuen Funktionen ausprobieren und klicken auf die Anzeige, werden sie auf eine Fake-Website weitergeleitet, auf der sie sich mit Malware infizieren. Meta warnte 2023, dass viele dieser Kampagnen darauf abzielen, Unternehmen mit Zugang zu Werbekonten im Internet zu kompromittieren.

Gefälschte Webseiten

Hacker erstellen Webseiten, die denen legitimer KI-Anbieter zum Verwechseln ähnlich sehen. In der zweiten Hälfte des Jahres 2023 blockierte ESET über 650.000 Versuche auf potenzielle Phishing-Webseiten zuzugreifen, die „chapgpt“ oder ähnliche Stichworte enthielten. Die Opfer gelangen höchstwahrscheinlich dorthin, nachdem sie auf einen Link in sozialen Medien oder über eine E-Mail bzw. Mobilnachricht geklickt haben. Einige dieser Phishing-Seiten enthalten Links zur Installation von Malware, die sich als KI-Software ausgibt.

KI-App-Imitate

Eine weitere beliebte Masche: Hacker imitieren eine KI-App und bieten sie zum Download in einem App Store an. Viele dieser Apps enthalten Schadsoftware und stehlen nach der Installation Informationen vom Gerät des Benutzers. Dazu gehören Anmeldedaten, persönliche Identifikationsdaten und finanzielle Informationen. Andere wiederum bombardieren ihre Nutzer mit Werbung oder verlangen Abonennements für die weitere Nutzung. Kommen Nutzer dem nach erhalten sie im Gegenzug entweder keine oder ungenügende Dienste.

 

Original Autor: ZDNet-Redaktion

  110 Aufrufe

E-Mail-Angriffe mithilfe von lateralem Phishing

Die Analyse von Barracuda Networks zeigt, dass laterales Phishing 42 Prozent der gezielten E-Mail-Bedrohungen ausmacht, die auf Unternehmen mit 2.000 oder mehr Mitarbeitende abzielen. Kleinere Unternehmen sind dagegen mit 71 Prozent am ehesten von externen Phishing-Angriffen betroffen. Kleinere Unternehmen sind zudem dreimal so häufig von Erpressungsversuchen betroffen als ihre größeren Pendants. Allerdings machten sie nur sieben Prozent der auf sie abzielenden Angriffe aus. Die Unternehmensgröße hatte hingegen keine Auswirkung auf die Häufigkeit der Angriffsmethoden Business E-Mail Compromise (BEC) und Conversation Hijacking.Die Ergebnisse des Threat Spotlights basieren auf einer Analyse der gezielten E-Mail-Angriffe auf Unternehmen zwischen Anfang Juni 2023 und Ende Mai 2024.

Olesia Klevchuk von Barracuda. „Größere Unternehmen mit vielen E-Mail-Postfächern und Mitarbeitenden bieten Angreifern mehr potenzielle Angriffspunkte und Kommunikationskanäle, um schädliche E-Mails im Unternehmen zu verbreiten. Gleichzeitig werden Mitarbeiter E-Mails, die von innerhalb ihres Unternehmens gesendet werden, eher vertrauen, selbst wenn ihnen der tatsächliche Absender nicht bekannt ist. Bei kleineren Unternehmen hingegen ist die Wahrscheinlichkeit geringer, dass sie über mehrschichtige Sicherheitsstrategien verfügen. Zudem ist es wahrscheinlicher, dass kleinere Unternehmen aufgrund von mangelnder interner Expertise und mangelnden Ressourcen falsch konfigurierte E-Mail-Filter einsetzen.“

 

 

  97 Aufrufe

Happy Birthday E-Mail! Aber Vorsicht!

„Sie ist seitdem einem unverzichtbaren Teil des Kommunikationsalltags geworden. Aber genau das macht sie auch zu einer sensiblen Schwachstelle im Cybersicherheitsgefüge von Unternehmen, denn noch immer starten neun von zehn aller Cyber-Attacken mit einer E-Mail“, sagt Umut Alemdar, Leiter der Security Labs von Hornetsecurity, und warnt vor nach wie vor unterschätzten Risiken wie Spam und Phishing, Schadprogrammen, Aero-Day-Angriffen und DDoS-Angriffen.

Noch weniger bekannt sind dagegen die Risiken von E-Mails in Microsoft 365-Umgebungen, in denen es oft Lücken beim Schutz der E-Mail-Kommunikation. Der Grund: Viele Unternehmen gehen davon aus, dass ihre Daten in der Cloud-Umgebungen geschützt sind. Sie wissen nicht, dass Microsoft in seinen Shared-Responsibility-Guidelines explizit darauf hinweist, dass die Kunden selbst dafür verantwortlich sind, ihre Datensicherheitsrichtlinien zu konfigurieren, ihre Daten vor Ausfall und Verlust zu schützen und die eigenen Compliance-Anforderungen zu erfüllen. Abhilfe schafft eine umfassende Cloud-Security-Strategie für Microsoft 365, die die Bereiche Sicherheit, Compliance, Datenschutz und Backup abdeckt.

„Neben technischen Tools ist für eine nachhaltige Sicherheitskultur auch das sicherheitsbewusste Verhalten der Mitarbeiter essenziell. Wichtig sind hierfür regelmäßige Schulungen, welche die Bedrohungen der Branche abdecken und auf den Kenntnisstand jedes einzelnen eingehen. Denn nur konsequent geschulte Mitarbeiter sind in der Lage, Cyber-Bedrohungen zu erkennen, die über E-Mail und andere Kommunikationsmethoden versendet werden“, sagt Umut Alemdar und empfiehlt IT-Admins ihre End-User hinsichtlich E-Mail-Sicherheit vor allem unter folgenden Aspekten schulen:

Anhänge prüfen
Zwar blockiert Microsoft mittlerweile automatisch Makros in Word- und Excel-Dateien, jedoch gehen Cyberkriminelle mittlerweile vermehrt dazu über, Dateien im LNK-Format zu versenden oder über maliziöse Links auf Unternehmensdaten zuzugreifen. Beim LNK-Format handelt es sich um ein Dateiformat, das von Microsoft Windows verwendet wird, um Verknüpfungen zu Dateien, Ordnern, Websites und anderen Ressourcen zu erstellen. Endnutzer sollten daher unbedingt vermeiden, auf externe, unsichere Links zu klicken oder LNK-Anhänge zu öffnen, ohne sie zuvor von der IT-Abteilung freigeben zu lassen.

Vorsicht vor QR-Codes
Mobile Endgeräte wachsen immer stärker zur Schnittstelle zwischen Privat- und Berufsleben heran. Ein Beispiel hierfür ist die Mehrfaktorauthentifizierung (MFA), die vielerorts über ein privates Smartphone gesteuert wird. In Kombination mit QR-Codes, die mehr und mehr Einzug in den Alltag erhalten, lauert hier eine nicht zu unterschätzende Gefahr. QR-Code-Phishing oder Quishing wird als Cyberangriff-Methode immer beliebter und verleitet Enduser dazu, einen QR-Code mit der Kamera zu scannen. Besonders wenn auf demselben Handy eine MFA-App installiert ist, laufen Mitarbeiter Gefahr, zu einem Sicherheitsleck zu werden. Aus diesem Grund gilt es, die verlinkte Quelle eines QR-Codes eingehend zu prüfen, bevor man ihr vertraut.

Weiterlesen
  115 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image