Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Microsoft Patchday: Zwei Zeroday-Lücken werden bereits angegriffen

Microsoft hat zum Oktober-Patchday Fehlerkorrekturen zu 117 CVE-Schwachstelleneinträgen herausgegeben. Zwei der Lücken werden bereits in freier Wildbahn angegriffen. "Missbrauch entdeckt", fasst Microsoft das zusammen, betroffen sind die Microsoft Management Console und die Windows MSHTML-Plattform.

Anzeige

Die Release-Note zum Oktober-Patchday von Microsoft listet alle Sicherheitslücken auf, die das Unternehmen angegangen ist. Es sind wieder Produkte aus allen Bereichen von Sicherheitslecks betroffen, von der lokalen Windows-Installation bis zur Azure-Cloudsoftware.

In Microsofts Management Console können Angreifer Schadcode einschleusen und ausführen. Aus Microsofts Erläuterung, wie das Update wirkt, lässt sich herleiten, dass manipulierte "nicht vertrauenswürdige Microsoft Saved Console (MSC)-Dateien" den Fehler auslösen konnten. Diese lassen sich nach dem Update nicht mehr laden (CVE-2024-43572, CVSS 7.8, Risiko "hoch"). In der Windows MSHTML Plattform haben Angreifer eine Cross-Site-Scripting-Lücke zum Fälschen von Anzeigen missbraucht (CVE-2024-43573, CVSS 6.5, mittel). Microsoft schreibt in den Sicherheitsmitteilungen nicht, wie Angriffe sich erkennen lassen, das Unternehmen nennt auch keine temporären Gegenmaßnahmen.

Microsoft hat zudem Schwachstellen als kritisches Risiko eingestuft. Einmal eine Codeschmuggel-Lücke in Microsoft Configuration Manager (CVE-2024-43468, CVSS 9.8, kritisch) und dann eine Rechteausweitungslücke in Windows Netlogon (CVE-2024-38124, CVSS 9.0, kritisch). Rund ein Dutzend Meldungen streifen mit einer CVSS-Einstufung von 8.8 an der höchsten Risikostufe nur knapp vorbei.

Weiterlesen
  110 Aufrufe

Schwachstellen in Intels Sicherheitstechnologie TDX entdeckt​

Wissenschaftler haben zwei Schwachstellen in Intels neuester Sicherheitstechnologie, den Trusted Domain Extensions (TDX), identifiziert. TDX sollen die Datenverarbeitung in der Cloud schützen, indem sie Programme vom Betriebssystem isolieren. Die Forscher aus dem Institut für IT-Sicherheit der Universität zu Lübeck, darunter Luca Wilke, Florian Sieck und Prof. Thomas Eisenbarth, veröffentlichten ihre Ergebnisse unter dem Titel "TDXdown".

Anzeige

Die Schwachstellen ermöglichen sogenannte Seitenkanal-Angriffe. Ein Angreifer könnte durch Manipulation der CPU-Frequenz die TDX-Sicherheitsmechanismen überlisten. Denkbar ist es, die Ausführung der TEE zu beobachten "und Rückschlüsse über die verarbeiteten Daten zu schließen", erklärt Eisenbarth.

Intel hat bereits eine der Schwachstellen behoben und empfiehlt, die TDX-Modulversion 1.5.06 oder höher zu installieren, um das Risiko zu verringern. Die zweite Schwachstelle erfordert jedoch Maßnahmen auf der Anwendungsebene, um die Verwundbarkeit auszunutzen.

Single-Stepping-Angriffe stellen eine große Bedrohung für Trusted Environment Executions (kurz TEE) dar. Dadurch können Angreifer TEE-Befehle nacheinander ausführen, "wodurch zahlreiche kontrollierte und auf Seitenkanälen basierende Sicherheitsprobleme entstehen", heißt es in dem Paper.

Weiterlesen
  128 Aufrufe

Kritische Sicherheitslücken in Draytek-Geräten erlauben Systemübernahme

In vielen Modellen der Vigor-Serie klaffen Sicherheitslücken, die unter Umständen die komplette Übernahme der Geräte durch Angreifer erlauben, warnt der Dienstleister Forescout. Experten des Unternehmens hatten die Firmware der Geräte analysiert und waren dabei auf teils kritische Fehler gestoßen.

Anzeige

In ihrem Report gehen die Forscher mit Vigor hart ins Gericht. So sei die hohe Defektdichte an wenigen Stellen der Firmware auffällig – ausgerechnet bei CGI-Skripten (Common Gateway Interface), die über die Web-Schnittstelle der Router häufig sogar aus dem Internet aufgerufen werden könnten. Das Betriebssystem DrayOS läuft entweder direkt auf dem Router oder wird mittels QEMU emuliert – etwa auf Draytek-Routern der 391x-Serie.

Die Forscher analysierten den DrayOS-Kernel und stolperten zunächst über fehlende Sicherheitsmaßnahmen wie Stack-Canaries, ASLR (Address Space Layout Randomization) oder PIE (Position Indepedent Executable). Zudem fehlt den DrayOS-Kernels das NX-Bit, das die Ausführung von Code auf dem Stack oder Heap verhindert. Die Sicherheitslücken auszunutzen, wurde dadurch für die Analysten zu einer bloßen Fingerübung.

Unter den gefundenen Sicherheitslücken stechen CVE-2024-41592 und CVE-2024-41585 hervor. Erstere, ein Buffer Overflow, ermöglicht Dienstverhinderung (DoS) und Codeschmuggel und ist aus der Ferne ausnutzbar – sie erntet damit die CVSS-Höchstwertung 10. Sie teilt sich die kritische Risikoeinstufung mit der zweiten, jedoch etwas ungefährlicheren (CVSS 9,1) Lücke, die nicht nur die Ausführung beliebiger Kommandos ermöglicht, sondern auch den Ausbruch aus der QEMU-VM in der DrayOS läuft.

Weiterlesen
  135 Aufrufe

Russische Websites offline: Offenbar ukrainischer Geburtstagsgruß für Putin

Bei russischen Staatsmedien und -organisationen ist es seit Montag zu einem größeren IT-Systemausfall gekommen, der womöglich auf einen Cyberangriff zurückgeht. Das melden unter anderem die Agentur Reuters und die russische Gazeta. Das genaue Ausmaß des Ausfalls ist unklar, zur Stunde sind jedoch noch einige Systeme nicht erreichbar. Der Sendebetrieb des Staatsfernsehens ist derzeit unbeeinträchtigt, intern beginnen offenbar die Aufräum- und Untersuchungsarbeiten.

Anzeige

Die russische WGTRK (Всероссийская государственная телевизионная и радиовещательная компания, etwa: Allrussische staatliche Fernseh- und Radiogesellschaft) ist als staatliche Medienholding unter anderem Eigentümerin der Fernsehsender Rossija 1, 2, des sanktionierten Auslandssenders Rossija RTR und mehrerer Radiosender. Sie geriet in der Nacht zum siebten Oktober unter digitalen Beschuss: Wie mehrere Medien übereinstimmend berichten, fielen Websites und -streams der WGTRK-eigenen Medien aus. Auch beim Justizministerium schlossen sich die virtuellen Türen, mehrere Domains des Ministeriums sind bis dato noch vom Netz.

Wie eine Quelle aus dem Umfeld der Medienholding gegenüber dem russischen Nachrichtenportal Gazeta bemerkte, seien alle Daten, einschließlich Backups, von den Servern der Organisation gelöscht, die Wiederherstellung werde daher lange dauern. Reuters-Journalisten berichteten zudem, dass der Stream des Senders Rossija-24 nicht verfügbar sei. Auch interne Dienste wie Internet- und Telefonanschlüsse von WGTRK seien betroffen.

Gegenüber der staatlichen russischen Nachrichtenagentur TASS wiegelte ein WGTRK-Sprecher hingegen ab: Man habe keinen wesentlichen Schaden erlitten und alles funktioniere wie gewohnt. So ist zwar ist der unterbrochene Livestream am Dienstagvormittag wiederhergestellt, die russischsprachige WGTRK-Website ebenso. Die englische Version der Internetpräsenz der Medienholding ist jedoch weiterhin offline – eine Überprüfung durch heise online und Netzwerkexperten ergab, dass sie auch aus Russland heraus nicht aufrufbar ist.

Weiterlesen
  126 Aufrufe

SAP-Patchday: Sechs neu gemeldete Sicherheitslücken in Business-Software

Im Oktober bekommen SAP-Admins weniger Arbeit als üblich: Lediglich sechs neue Sicherheitslücken stopfen die Walldorfer Entwickler in der Business-Software. Zudem aktualisieren sie die Sicherheitsnotizen zu sechs älteren Schwachstellen.

Anzeige

In der Patchday-Übersicht von SAP listen die Entwickler die betroffenen Produkte auf. Zwei neu entdeckte Sicherheitslücken stufen sie als hohes Risiko ein, vier weitere als mittleres. Die aktualisierten Meldungen umfassen ein Risiko-Spektrum von mittel bis kritisch.

In folgenden Produkten schließt SAP neue Schwachstellen mit aktualisierter Software:

SAP Enterprise Project Connection (CVE-2022-23302, CVE-2024-22259, CVE-2024-38809, CVE-2024-38808; CVSS 8.0, Risiko "hoch")SAP BusinessObjects Business Intelligence Platform (Web Intelligence) (CVE-2024-37179, CVSS 7.7, hoch)SAP Commerce Backoffice (CVE-2024-45278, CVSS 5.4, mittel)SAP NetWeaver Enterprise Portal (KMC) (CVE-2024-47594, CVSS 5.4, mittel)SAP HANA Client (CVE-2024-45277, CVSS 4.3, mittel)SAP S/4 HANA (Manage Bank Statements) (CVE-2024-45282, CVSS 4.3, mittel)

In der SAP-Übersicht verlinken die Programmierer die konkreten Sicherheitsnotizen zu den Schwachstellen. IT-Verantwortliche können nach Anmeldung in ihre SAP-Konten darauf zugreifen.

Weiterlesen
  122 Aufrufe

heise-Angebot: iX-Workshop: Spezialwissen für KRITIS – Prüfverfahrenskompetenz gemäß § 8a BSIG

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.

Weiterlesen
  188 Aufrufe

Neue Cyberbedrohungen für Verbraucher

Es stehen also nur wenige Stunden zur Verfügung, um solche Angriffe zu stoppen. Für Verbraucher diversifizieren sich die Angriffsvektoren der Cyberkriminalität zunehmend. Während die Experten von Palo Alto Networks feststellten, dass Phishing-Angriffe 2023 zwar auf 17 Prozent zurückgingen, haben sich in der Folge viele weitere Angriffsmethoden entwickelt.

Evil Twin Angriffe

Bei einem Evil Twin Angriff richten Cyberkriminelle ein gefälschtes WLAN-Netzwerk, das ein legitimes Netzwerk imitiert, an öffentlichen Orten wie Restaurants, Flughäfen oder Einkaufszentren ein. Der Nutzer wird so dazu verleitet, sich zu verbinden. Dies ermöglicht es Angreifern, sensible Daten wie Passwörter, E-Mails und Kreditkarteninformationen abzufangen. Laut einer Studie von Forbes Advisor wurden bei vier von zehn Personen, die ein öffentliches WLAN-Netzwerk nutzen, ihre Informationen kompromittiert. Die Experten von Palo Alto Networks empfehlen, Verbindungen zu unbekannten WLAN-Netzwerken zu vermeiden, VPNs für verschlüsselten Internetzugang zu nutzen und die WLAN-Einstellungen von Endgeräten so zu konfigurieren, dass vor dem Verbinden mit neuen Netzwerken eine Bestätigung erforderlich ist.

Juice Jacking

Juice Jacking ist eine Angriffsmethode, bei der Cyberkriminelle öffentliche Ladestationen, wie sie an Flughäfen oder in Cafés zu finden sind, ausnutzen, um Malware zu installieren oder Daten von Endgeräten zu stehlen. Beim Anschließen von Geräten an diese Ladestationen besteht die Gefahr, dass schädliche Software eingeschleust oder persönliche Daten abgezapft werden. Als Vorsichtsmaßnahme empfehlen Experten, tragbare Powerbanks zum Aufladen von Endgeräten an öffentlichen Orten mitzuführen oder eigene Ladekabel zu verwenden.

 

Cryptojacking

Beim Cryptojacking kapern Cyberkriminelle die Rechenleistung einzelner Benutzer oder die Endgeräte von Unternehmen, um ohne deren Wissen Kryptowährungen zu schürfen. SonicWall stellte fest, dass die Cryptojacking-Aktivität allein im letzten Jahr die Gesamtzahl für 2018 und 2019 zusammen übertraf.

Weiterlesen
  126 Aufrufe

Android Patchday: System-Komponente ermöglicht Codeschmuggel aus dem Netz

Google hat zum Oktober-Patchday in Android mehrere Sicherheitslücken ausgebessert. Den Entwicklern zufolge ist eine Lücke in der System-Komponente am schwerwiegendsten. Sie ermöglicht Angreifern aus dem Netz, Schadcode einzuschleusen, ohne dass dazu weitere Rechte angefordert oder benötigt würden.

Anzeige

In Googles Security-Bulletin zum Android-Patchday listen die Entwickler zum Patch-Level 2024-10-01 drei Schwachstellen im Framework auf. Diese wurden allesamt als hohes Risiko eingestuft und betreffen Android 12, 12L, 13 und 14 – sowie zwei davon sogar das neue Android 15, dessen Quellcode seit rund einem Monat verfügbar ist. Vier der Schwachstellen finden sich in der System-Komponente von Android; drei betreffen die Version 12, 12L, 13 und 14, eine davon zudem ebenfalls Android 15. Die vierte Schwachstelle ist ausschließlich in Android 14 zu finden.

Zudem gesellen sich Sicherheitslücken in der ART-Laufzeitumgebung von Android und in den WiFi-Komponenten, die jedoch mit Google Play-Systemupdates geschlossen werden. Der Sicherheits-Patch-Level 2024-10-05 bessert noch weitere Schwachstellen in der Software der Prozessorhersteller aus, darunter Imagination Technologies, MediaTek und Qualcomm.

Smartphone-Hersteller haben laut Google die Quellcode-Flicken bereits vor vier Wochen erhalten. Sie hatten daher schon Zeit, aktualisierte Firmwares für ihre Geräte zu entwickeln. In Kürze sollten Android-Smartphones, die noch Support erhalten, daher mit Firmware-Updates rechnen können. Die Firmware-Aktualisierungen für Googles Pixel-Smartphones stehen zum Meldungszeitpunkt noch aus. Dort ist derzeit der Stand September 2024 noch aktuell. Gleiches Bild zeigt sich zurzeit bei Samsungs S24-Flaggschiff-Generation.

Weiterlesen
  114 Aufrufe

Oktober-Patchday: Google schließt schwerwiegende Lücken in Android

Google hat das Oktober-Sicherheitsbulletin für sein Mobilbetriebssystem Android veröffentlicht. Die neuen Patches beseitigen 28 Schwachstellen, von denen ein hohes Sicherheitsrisiko ausgeht. Eine Anfälligkeit in der Komponente System erlaubt Google zufolge auch ohne eine unbefugte Rechteausweitung das Einschleusen und Ausführen von Schadcode aus der Ferne.

Gestopft wird dieses Loch mit der Sicherheitspatch-Ebene 1. Oktober. Davon betroffen sind Android 12, 12L, 13 und 14. Weitere Schwachstellen, unter anderem im Android Framework, stecken auch in Android 15.

Mit der Sicherheitspatch-Ebene 5. Oktober beheben die Entwickler weitere sicherheitsrelevante Fehler in Komponenten von Imagination Technologies, MediaTek und Qualcomm. Sie werden unter anderem in Komponenten wie WLAN, Display und Modem korrigiert.

Darüber hinaus liefert Google auch zwei Patches für Geräte mit Android 10 und neuer über Google Play aus. Sie sind für die WiFi-Komponente und die Android Runtime (ART).

Googles Android-Partner wurde bereits vor mindestens einem Monat über die Details des Patchdays informiert. Deren Sicherheitsupdates sollten in den kommenden Woche und Monaten zum Download bereitstehen. Die Verteilung der Korrekturen erfolgt wie immer Over-the-Air.

Original Autor: Stefan Beiersmann

  109 Aufrufe

Amazon Prime Deal Days: Phishing-Mails und Scam-Seiten

Am 8. und 9. Oktober 2024 bietet Amazon zu seinen Prime Deal Days allen Prime-Mitgliedern wieder exklusive Rabatte an und Cyber-Kriminelle versuchen abermals aus der gestiegenen Kaufbereitschaft Kapital zu schlagen. Checkpoint hat über 1000 neu registrierte, auf Amazon bezogene Domains identifiziert, von denen 88 Prozent als bösartig oder verdächtig eingestuft wurden. Eine von 54 enthielt den Begriff „Amazon Prime“. Viele dieser Domains waren noch nicht aktiv, könnten aber für Phishing-Angriffe genutzt werden. Eine so geparkte Domain ist ein registrierter Domainname, der derzeit nicht für eine Website oder einen E-Mail-Hosting-Dienst verwendet wird. Stattdessen wird er für eine spätere Verwendung bereitgehalten. Folgende Beispiele für betrügerische Domains im Zusammenhang mit Amazon sind:

amazonprimemotels[.]comamazonprimeresort[.]comamazonprimeresorts[.]comDiese betrügerische Website bietet Sonderangebote an und nutzt das offizielle Amazon-Logo mit leichten Änderungen (Quelle: Check Point Software Technologies Ltd.).

Zudem hat CPR über 100 verschiedene betrügerische E-Mails beobachtet, die im Zusammenhang mit den Prime Deal Days an Organisationen und Verbraucher verschickt werden. In einer Reihe dieser E-Mails geben sich die Betrüger als Amazon Financial Services aus und fordern die Verbraucher auf, ihre Zahlungsmethoden zu aktualisieren. Betrüger kontaktieren Prime-Mitglieder sogar mit unaufgeforderten Anrufen, in denen sie auf dringende Probleme mit dem Konto hinweisen und nach Zahlungsinformationen fragen.

E-Mails besonders aufmerksam prüfen

Diese Art von Phishing-Versuchen kann jeden treffen – Mitarbeiter von Unternehmen und Organisation jeder Art, von der Beschaffungsabteilung über Verwaltungsassistenten bis hin zu Führungskräften. Langfristig können Opfer und Organisationen dadurch finanzielle Verluste, Rufschädigung der Marke, Vertrauensverlust der Kunden, Ressourcen-Engpässe und Identitätsdiebstahl erleiden. Da die Big Deal Days von Amazon Prime näher rücken, wird Verbrauchern empfohlen, besonders aufmerksam zu sein und bei E-Mails, die sich auf Prime-Mitgliedschaften und Bestellbestätigungen beziehen, besonders vorsichtig zu sein.

Einige Betrüger rufen auch unaufgefordert an, um Prime-Mitglieder darüber zu informieren, dass etwas mit ihrer Mitgliedschaft nicht stimmt und dass Bankkonto- oder andere Zahlungsinformationen erforderlich sind, um ein bestimmtes Konto wiederherzustellen. Die Entwicklung und der Einsatz von Betrugsmaschen ist für Cyber-Kriminelle durch künstliche Intelligenz außerdem einfacher als je zuvor geworden. Im Gegenzug wird es immer schwieriger, Betrugsversuche zu erkennen. Organisationen wird empfohlen, in verbesserte IT-Sicherheitsmaßnahmen, wie Anti-Phishing-Technologie, zu investieren, um Phishing-Versuche zu verhindern.

Links eine Aufforderung zur Eingabe von Zahlungsinformationen nach einer scheinbar fehlgeschlagenen Transaktion, rechts eine fingierte Benachrichtigung zum Abschluss einer Prime-Mitgliedschaft. (Quelle: Check Point Software Technologies Ltd.).

Genau hinschauen und keine persönlichen Daten weitergeben

Ein paar Tipps, wie man sich gegen Cyberkriminalität schützen kann.

Weiterlesen
  111 Aufrufe

Microsoft: Word-Fehler löscht Dokumente, statt sie zu speichern

Unter Umständen speichert Word Dokumente nicht, wenn es danach fragt, sondern löscht diese. Betroffen ist Word mit der Versionsnummer 2409 aus dem Microsoft-365-Softwarebundle.

Anzeige

In den Optionen zum Speichern in Word soll das setzen der gerahmten Option Abhilfe schaffen.

(Bild: Screenshot / dmk)

Ein Support-Artikel von Microsoft erläutert das Problem. "Nutzerinnen und Nutzer von Word Build 2409 können auf ein Problem stoßen, wodurch ihre Dateien gelöscht anstatt gespeichert werden, sofern der Name eine Dateierweiterung in Großschrift enthält (.DOCX, .RTF) oder das Zeichen '#'", erklären die Entwickler. "Das Problem tritt auf, nachdem die Datei verändert wurde und der Speichern-Dialog erscheint, wenn man versucht, Word zu schließen", schließt die Fehlerbeschreibung.

Weiterlesen
  115 Aufrufe

Identitätsmanagement: Keycloak 26 setzt auf persistierende Benutzer-Sessions

Rund vier Monate nach Keycloak 25 steht nun Version 26 bereit. Das neueste Release der quelloffenen Software für Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) entkoppelt die Veröffentlichung mancher Keycloak Client Libraries vom Releasezyklus des Keycloak-Servers, bringt Neuerungen für das Persistieren von User-Sessions und präsentiert eine Preview für Distributed Tracing mit dem Open-Source-Framework OpenTelemetry.

Anzeige

Künftig besitzen drei Keycloak-Client-Libraries einen vom Keycloak-Server unabhängigen Releasezyklus. Im aktuellen Release erscheinen die Libraries noch gemeinsam mit dem Server, doch das könnte laut dem Entwicklungsteam zum letzten Mal der Fall sein.

Die betreffenden Client-Libraries sind die Maven-Artefakte Java Admin Client (org.keycloak:keycloak-admin-client), Java Authorization Client (org.keycloak:keycloak-authz-client) und Java Policy Enforcer (org.keycloak:keycloak-policy-enforcer). Diese sind mit Java 8 kompatibel und lassen sich daher mit Clientanwendungen nutzen, die auf älteren Anwendungsservern deployt sind. In Zukunft könnten weitere Libraries hinzukommen.

Keycloak 25 brachte die Funktion persistent-user-sessions, mit der sich alle User-Sessions in der Datenbank persistieren lassen – im Gegensatz zum vorherigen Verhalten, als dies nur für Offline-Sessions galt. In Keycloak 26 ist dies nun standardmäßig aktiviert. Somit bleiben Nutzerinnen und Nutzer auch nach einem Neustart oder Upgrade aller Keycloak-Instanzen eingeloggt.

Weiterlesen
  129 Aufrufe

Nobelpreis geht an Victor Ambros und Gary Ruvkun für ihre Forschung zur microRNA

Nach der Auszeichnung von Entwicklern eines Corona-Impfstoffs im Vorjahr geht der Nobelpreis für Medizin in diesem Jahr an Victor Ambros und Gary Ruvkun für ihre Entdeckung der microRNA und ihre Rolle in der posttranskriptionalen Genregulation. Das hat die Nobelversammlung des Stockholmer Karolinska-Instituts bekanntgegeben.

Anzeige

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen. YouTube-Video immer laden

Die beiden Wissenschaftler haben ein grundlegendes Prinzip entdeckt, das bestimmt, wie die Aktivität von Genen reguliert wird. Sie erforschten seit Ende 1980 die Entwicklung des Fadenwurms C. elegans und dass seine Entwicklung vom Ei bis zum erwachsenen Wurm sich verändern lässt und wie sich verschiedene Zelltypen dabei entwickeln. Mehrere Jahre verbrachten sie damit, die Funktionen der Zellen zu erforschen.

Dabei stießen sie auf die microRNA, eine neue Klasse von RNA-Molekülen, die eine entscheidende Rolle in der Genregulation spielen. Ihre revolutionäre Entdeckung offenbarte ein völlig neues Prinzip der Genregulation, das sich als essenziell für vielzellige Organismen, einschließlich des Menschen, herausstellte. Heute weiß man, dass das menschliche Genom für über tausend microRNAs kodiert.

Ambros und Ruvkun entdeckten beim Wurm C. elegans eine neue Dimension der Genregulation, die für alle komplexen Lebensformen von wesentlicher Bedeutung ist.

Weiterlesen
  110 Aufrufe

Linux: Kritik, Gründe und Folgen der CVE-Schwemme im Kernel

Allerlei Administratoren und Entwickler klagen seit einigen Monaten lautstark: Mussten sie jahrelang nur auf meist vier bis sechs Sicherheitslücken pro Woche beim Linux-Kernel reagieren, sind es seit Februar mehr als zehnmal so viele. Prominente Kernel-Entwickler haben jüngst in Vorträgen und Diskussionsrunden zur Schwemme von CVE-Kennzeichnungen betont, die neue Situation sei etwas Gutes. Dabei deuteten sie an, darüber jammernde Distributoren würden mit ihren Klagen zu erkennen geben, die Sicherheitsproblematik zuvor nicht ernst genommen zu haben – und somit wichtige, aber nicht explizit als Security-Fix ausgewiesene Korrekturen ignoriert zu haben.

Anzeige

Einige größere Unternehmen haben das offenbar eingesehen und erwägen verschiedene Aktivitäten, um die neue Lage für sich und ihre Kunden erträglicher zu machen. Das dürfte irgendwann auch Hobby-Admins zugutekommen. Weil dazu aber enorm viel Arbeit an verschiedenen Fronten nötig ist, könnte das eine Weile dauern, wie sich bei genauerem Hinsehen zeigt.

Ursache für die veränderte Lage sind die Entwickler des Linux genannten Kernels. Jahrzehntelang hatten sie sich kein bisschen um Kennzeichnungen wie CVE (Common Vulnerabilities and Exposures) geschert; immer wieder haben sie sogar CVE-IDs verschwiegen oder gar aus Patch-Beschreibungen entfernt, um den Sicherheitsaspekt von Änderungen zu verschleiern. Aber weil Externe immer häufiger CVEs für fragwürdige Kernel-Lücken bewilligt erhielten, sahen sich die Entwickler Anfang des Jahres gezwungen, zur CNA (CVE Numbering Authority) zu werden, um die Vergabe von CVE für Linux selbst zu kontrollieren – ähnlich wie andere Open-Source-Projekte zuvor.

Die zuständigen Linux-Entwickler haben seit Februar rund 3375 CVE-Kennzeichnungen vergeben, darunter aufgrund von Vorgaben bei der Gründung auch allerlei für in den Vorjahren gestopfte Schwachstellen. Nach Einsprüchen haben die Zuständigen rund hundert dieser CVEs zurückgezogen. Viele Externe, aber auch allerlei Entwickler des offiziellen Kernels kritisieren indes, viele der anderen CVE seien auch ungerechtfertigt, weil keine echte Schwachstelle geflickt wurde.

Weiterlesen
  225 Aufrufe

Nach USA-Bann: Google wirft Kaspersky aus Play Store

Der US-Bann von Kaspersky bekommt globale Auswirkungen. Die US-Regierung hat den Verkauf der Software des Herstellers verboten. Google zieht daraus die Konsequenz und entfernt sowohl die Software als auch die Konten des Unternehmens aus Google Play.

Anzeige

Damit ist von dem Verbot in den USA nicht mehr nur der dortige Markt betroffen, sondern unter anderem auch der deutschsprachige Raum. Apps von Kaspersky lassen sich auch hier nicht mehr im Google Play Store finden und installieren.

Im Kaspersky-Forum schreibt ein Angestellter des Unternehmens, dass Downloads und Updates von Kaspersky-Software im Google Play Store "temporär nicht verfügbar seien". Das Unternehmen untersuche die Umstände des Problems und eruiere mögliche Lösungen, um Nutzerinnen und Nutzer der Software diese aus dem Play Store wieder herunterladen und aktualisieren lassen zu können. Kaspersky entschuldige sich für die Unannehmlichkeiten, die das verursacht haben könne.

Gegenüber US-Medien hat Google den Rausschmiss bestätigt: "Das US-Handelsministerium hat kürzlich Kaspersky mit einer Reihe an Restriktionen belegt. Als Ergebnis daraus haben wir Kaspersky-Apps aus Google Play entfernt". Kaspersky schlägt vor, dass Interessierte aus alternativen Quellen und App-Stores an die Kaspersky-Software und zugehörige Updates kommen könnten. Als Beispiele nennen die Russen den Samsung Galaxy Store, Huawais AppGallery oder Xiaomis GetApps.

Weiterlesen
  182 Aufrufe

US-Netzbetreiber offenbar im Visier chinesischer Cyberkrimineller

Bei einem kürzlich entdeckten Cyberangriff, der der chinesischen Regierung zugeschrieben wird, wurden möglicherweise die Netzwerke mehrerer US-amerikanischer Netzbetreiber infiltriert. Betroffen sein könnten unter anderem AT&T, Verizon und Lumen Technologies. Dies berichtet das Wall Street Journal (WSJ) unter Berufung auf interne Quellen.

Anzeige

Demnach wurde der Angriff erst in den vergangenen Wochen entdeckt. Sicherheitsexperten und die US-Regierung würden den Vorfall untersuchen. Die Kampagne scheint auf Informationsbeschaffung ausgerichtet zu sein und gilt als potenziell katastrophale Sicherheitsverletzung. Bisher haben sich AT&T, Verizon oder Lumen gegenüber dem WSJ nicht zu der Kampagne geäußert.

Über mehrere Monate oder länger könnten die Cyberkriminellen, die Salt Typhoon, GhostEmperor oder FamousSparrow genannt werden, laut WSJ Zugang zu Netzwerkinfrastrukturen gehabt haben. Zudem hatten die Angreifer Zugang zu anderen, allgemeineren Internetdaten. Nach Informationen aus einem Eintrag der Malpedia-Datenbank des Fraunhofer FKIE kam dafür ein Rootkit für Windows-Kernel namens Demodex zum Einsatz.

Die möglicherweise betroffenen Überwachungssysteme werden zur Zusammenarbeit bei Anfragen nach inländischen Informationen im Zusammenhang mit strafrechtlichen und nationalen Sicherheitsermittlungen verwendet. Unklar ist, ob auch Systeme, die ausländische Geheimdienstüberwachungen unterstützen, von dem Einbruch betroffen waren.

Weiterlesen
  153 Aufrufe

Linux-Malware "Perfectl" befällt offenbar schon seit Jahren Linux-Server

Eine jetzt entdeckte Malware hat es auf Linux-Server abgesehen: Wie die Experten der Cybersecurity-Beratung Aqua Security berichten, ist das Programm namens "Perfectl" vermutlich schon seit 2021 im Umlauf und befällt Linux-Systeme, um diese heimlich als Proxyserver und für Cryptomining zu nutzen. Das Schadprogramm kann auch als Loader für weitere unerwünschte Programme fungieren.

Anzeige

"Perfectl" hat laut dem Analysebericht vermutlich bereits Millionen von Servern attackiert. Die Zahl der Geräte, welche die Malware erfolgreich befallen konnte, geht in die Tausende, schätzen die Verfasser des Berichts, Assaf Morag und Idan Revivo. "Perfectl" sucht demzufolge nach rund 20.000 verschiedenen Arten von Fehlkonfigurationen, welche Linux-Server potenziell aufweisen können – die Chance, dass das eigene System befallen ist, bestehe im Grunde, sobald der Server mit dem Internet verbunden ist, stellen Morag und Revivo klar.

In allen bekannten Fällen habe die Malware einen Kryptominer ausgeführt. In einigen Fällen sei auch eine Proxy-Jacking-Software zu Einsatz gekommen, heißt es in dem Bericht. Während die beiden Analysten Sandbox-Tests mit der Malware durchführten, machten sie zudem eine Beobachtung: Diese installierte im Hintergrund weitere Programme, um das Geschehen heimlich mitverfolgen zu können.

Das Schadprogramm tarnt sich besonders gut und hält sich hartnäckig auf den Zielgeräten. Aqua Security konnte eine Reihe von Taktiken aufdecken. So nutzt "Perfectl" Rootkits, um seine Präsenz zu verbergen. Loggt sich ein neuer Benutzer ein, beendet die Malware sofort alle Aktivitäten, die auffällig sein könnten. Loggt sich der Nutzer wieder aus, gehen die Aktivitäten wieder weiter.

Weiterlesen
  197 Aufrufe

Exploits beobachtet: CISA warnt Nutzer von Ivanti- und Zimbra-Software

Die US-Cybersicherheitsbehörde CISA warnt vor einem kritischen Sicherheitsleck in Ivanti Endpoint Manager und einer Lücke in der Groupware Zimbra. Sie hat die Bugs mit den CVE-IDs CVE-2024-29824 und CVE-2024-45519 in ihre Liste der "Known Exploited Vulnerabilities" (KEV) aufgenommen. Während der Ivanti-Fehler bereits im Mai publik wurde, weiß die Öffentlichkeit erst seit wenigen Tagen von der Codeschmuggel-Lücke in Zimbra.

Anzeige

Bereits im Mai machte Ivanti den nun aktiv ausgenutzten Fehler in einem Security Advisory öffentlich, zusammen mit nicht weniger als neun weiteren SQL-Injection-Bugs in allen Versionen bis einschließlich 2022 SU5 des Endpoint Managers. Der Hersteller hatte den kritischen Fehler zwar zunächst mit einem Hotfix vorübergehend behoben, der sorgte jedoch für Ungemach an anderer Stelle. Jetzt wird es für Administratoren mit diesen veralteten Versionen des Ivanti Endpoint Managers höchste Zeit, auf eine neuere Version zu wechseln, zumal seit Monaten Exploit-Skripte auf GitHub existieren.

Wesentlich neueren Datums ist hingegen die kritische Lücke in Zimbra – erste Exploitversuche datieren auf den 28. September. Ob die US-Behörde CISA nun weitere Informationen über Angriffskampagnen gegen Zimbra-Installationen erhalten hat, ist unklar. Administratoren sollten schleunigst ihre Zimbra-Server aktualisieren oder den postjournal-Dienst deaktivieren.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dr. Christopher Kunz)

  254 Aufrufe

heise-Angebot: iX-Workshop: Aufgaben eines Informationssicherheitsbeauftragten

In einer Zeit, in der Informationssicherheit immer wichtiger wird, sind kompetente Informationssicherheitsbeauftragte (ISB) gefragter denn je. Sie spielen eine Schlüsselrolle, wenn es darum geht, Sicherheitsrisiken zu minimieren und den Schutz sensibler Daten zu gewährleisten. Mitarbeiter werden zu Informationssicherheitsbeauftragten (ISB) ernannt. Hierbei sollte für Leitung wie auch zukünftige Beauftragte klar sein, welche Erwartungen, Verantwortlichkeiten und Befugnisse mit der Rolle verbunden sind und welche Kompetenzen hierfür erforderlich sind.

Anzeige

Der Einstiegsworkshop Startklar: Ihre Rolle als Informationssicherheitsbeauftragte bietet einen umfassenden Überblick über die Aufgaben und Verantwortlichkeiten von ISBs, wie auch die Anforderungen, die an diese gestellt werden. Die Schulung erläutert zudem den Stellenwert des ISB im Unternehmen, sowie die notwendigen Rahmenbedingungen, die von der Organisationsleitung geschaffen werden müssen, damit ein ISB seine Rolle effektiv steuern und angehen kann.

Zu Beginn des Workshops werden Grundlagen zur Informationssicherheit und zum Informationssicherheitsmanagement vorgestellt. Wir stellen dar, weshalb die Tätigkeiten von ISBs in ein Managementsystem integriert sein sollten und wie diese arbeiten. Prototypisch orientieren wir uns an einem ISMS nach ISO 27001 als international führenden Standard.

Im weiteren Verlauf stellen wir Aufgaben und Verantwortlichkeiten sowie die Stellung innerhalb einer Organisation vor. Wir betrachten, welche Kenntnisse in Bezug auf Informationssicherheit, IT und soziale Fähigkeiten von Vorteil sind. Zudem werden die Schnittstellen des ISB zu internen und externen Akteuren, Teamarbeit, notwendige fachliche Kenntnisse und Soft-Skills besprochen. Der Workshop schließt mit einer Übersicht über relevante Schulungen und unterstützende Tools.

Weiterlesen
  212 Aufrufe

Sicherheitsupdates: Cisco patcht Lücken in Produkten quer durch die Bank

Mit einem guten Dutzend Sicherheitshinweisen behebt Cisco einige Lücken in VPN-Routern, Security-Appliances der Meraki-Baureihe, Blade-Centern und der Cloud-Netzwerkverwaltung "Nexus Dashboard". Für die Sicherheitslücken gibt es Softwareflicken, aber keine Workarounds – Admins sollten also ihren Gerätepark auf den neuesten Stand bringen.

Anzeige

Die gefährlichste Lücke betrifft den Nexus Dashboard Fabric Controller (NDFC), eine Software zur Verwaltung von Netzwerkgeräten. Der Bug erlaubt einem Angreifer mit gültigem Benutzerkonto, beliebigen Code auf einem durch eine angreifbare NDFC-Instanz verwalteten Gerät auszuführen. Die Kommandos lassen sich sowohl über die Weboberfläche als auch über das RESTful API einschleusen – nur die Tatsache, dass ein Nutzerkonto notwendig ist, bewahrt CVE-2024-20432 vor der CVSS-Höchstwertung. Mit einem Wert von 9,9 Punkten ist die Sicherheitslücke dennoch kritisch.

Auch über das Secure Copy Protocol (SCP) kann ein Missetäter eigenen Code am NDFC vorbei auf Netzwerkgeräten einschleusen. Dazu lädt er diesen einfach per SCP hoch und macht sich eine mangelhafte Pfadprüfung zunutze – die schädlichen Kommandos werden mit den Rechten des Nutzers "root" ausgeführt und bescheren der Sicherheitslücke mit CVE-ID CVE-2024-20449 ein hohes Risiko und CVSS 8,8 von 10.

Mehrere weitere Lücken im Nexus-Dashboard (CVE-2024-20385, CVE-2024-20438, CVE-2024-20441, CVE-2024-20442, CVE-2024-20490, CVE-2024-20491, CVE-2024-20444 und CVE-2024-20448) bringen ein mittleres Risiko mit sich und rangieren von TLS-Zertifikatsproblemen über Autorisierungsmängel bis zu Informationslecks.

Weiterlesen
  213 Aufrufe

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image