Comretix Blog

Das Support-Ende von Windows 10 nähert sich mit großen Schritten – in einem Jahr, am 14. Oktober 2025, ist es so weit. Unternehmenskunden können sich wie schon bei den älteren Windows-Versionen wie Windows 7 und 8 im Rahmen des Extended-Security-Updates-Programms (ESU) verlängerte Update-Unterstützung mit Sicherheitsflicken kaufen. Erstmals bietet Microsoft das auch Privatanwendern an.

Anzeige

In einem Blog-Beitrag hat Microsoft erneut das Support-Ende von Windows 10 in Erinnerung gerufen. Sehr länglich beschreiben die Redmonder darin, welche Optionen es zum Windows-11-Umstieg gibt und preist die Vorteile der aktuelleren Windows-Version an.

Ganz am Ende des Beitrags findet sich der Hinweis auf die Extended Security Updates. Damit ausgestattete PCs erhalten weiterhin kritische und wichtige Sicherheits-Updates, erklärt das Unternehmen, jedoch keine neuen Funktionen, Bug-Fixes oder technischen Support. "Und zum ersten Mal überhaupt stellen wir ebenfalls ein ESU-Programm für die private Nutzung an", schreibt Microsoft. "Das ESU-Programm für Verbraucher wird eine Ein-Jahres-Option für 30 US-Dollar sein. Das Programm wird kurz vor Ende des Support-Zeitraums 2025 verfügbar werden".

Das Extended-Security-Updates-Programm für Windows 10 wird nach bisherigem Stand ein Windows-10-System mit dem Stand 22H2 voraussetzen. Business-Kunden können bis zu maximal drei Jahre Supportverlängerung kaufen, spätestens im Oktober 2028 ist dann das absolute Support-Ende von Windows 10. Damit ausgestattete PCs funktionieren zwar weiterhin, Sicherheitslücken bleiben darin jedoch offenstehen. Cyberkriminelle nutzen diese regelmäßig aus, um ihre Rechte in Systemen auszuweiten, sich einzunisten oder in Netzwerken fortzubewegen, für Spionage oder etwa für Ransomware-Angriffe. Solche Systeme können daher aus Sicherheitsaspekten nur noch isoliert betrieben werden und sollten besser durch solche mit noch unterstützter Software ersetzt werden.

Die AEP GmbH wurde am 28. Oktober Opfer eines gezielten Cyberangriffs, der zu einer teilweisen Verschlüsselung der IT-Systeme des Unternehmens führte. Firmeneigene Sicherheitssysteme hätten den Angriff erkannt. Darüber informiert das Unternehmen auf seiner Website.

Anzeige

AEP, mit Sitz in Alzenau, habe nach eigenen Angaben umgehend notwendige Schutzmaßnahmen ergriffen und "alle Außenverbindungen getrennt und alle betroffenen IT-Systeme heruntergefahren". Das Unternehmen, das laut DAZ über 6000 Apothekenkunden verfügt, arbeite derzeit mit Hochdruck und unter Mithilfe externer Experten an einer Lösung.

Mit Unterstützung der Experten wird derzeit das Ausmaß des Angriffs untersucht. Infolgedessen ist AEP aktuell telefonisch nicht und per E-Mail nur sehr eingeschränkt erreichbar. AEP will seine Kunden täglich über den aktuellen Stand informieren. Bisher gebe es keinen Hinweis auf einen Verlust der Daten, wie ein Unternehmenssprecher der Apotheke Adhoc mitgeteilt hat.

Apotheken haben bereits seit Jahren mit Lieferengpässen zu kämpfen, aktuell listet das vom Bundesinstitut für Arzneimittel und Medizinprodukte bereitgestellte Portal "PharmaNet.Bund", das auch Daten aus der Arzneimittel- und Antrags-Datenbank des Bundes enthält, rund 500 Arzneimittel auf, bei denen es Lieferschwierigkeiten gibt. Durch Cybervorfälle oder Ausfälle relevanter Dienste und Standorte – etwa auch durch Naturkatastrophen wie Helene – verschlimmert sich die Lage weltweit.

Hacken wie die Hacker: Im iX-Workshop Sich selbst hacken - Pentesting mit Open-Source-Werkzeugen lernen Sie, wie Angreifer vorgehen, um Fehlkonfigurationen und andere Schwachstellen in der Unternehmens-IT aufzuspüren und auszunutzen. Mit den gewonnenen Erkenntnissen fällt es Ihnen leichter, Ihre eigenen Systeme effektiv abzusichern.

Anzeige

Unter dem Stichwort OSINT (Open Source Intelligence) lernen Sie zunächst jene Techniken kennen, mit deren Hilfe sich öffentlich verfügbare Informationen über eine Organisation oder ein Unternehmen sammeln und auswerten lassen - und damit auch mögliche Hintertüren ins System, wie etwa kompromittierte Passwörter. Mit verschiedenen frei verfügbaren Open Source-Werkzeugen und Audit-Tools können im nächsten Schritt Untersuchungen auf Netzwerkebene durchgeführt, Web-Applikationen überprüft oder auch Möglichkeiten der Privilegien-Eskalation unter Windows und Linux aufgedeckt werden.

Ein Schwerpunkt des Workshops liegt auf der Überprüfung von Microsofts zentralem Verzeichnisdienst Active Directory, da dieser ein beliebtes Angriffsziel für Hacker ist. Erfahren Sie, wie Sie Schwachstellen in diesem zentralen Element der Unternehmens-IT aufdecken und gezielt beheben können. Ebenso kommen Maßnahmen wie die Implementierung einer Mehr-Faktor-Authentifizierung und die differenzierte Vergabe von Berechtigungen zur Sprache, um Ihre IT-Systeme effektiv abzusichern.

Als Referent steht Ihnen Philipp Löw, erfahrener Pentester bei der Oneconsult Deutschland AG, zur Verfügung. Profitieren Sie in diesem spannenden Workshop, von seinem Fachwissen und seinen praktischen Erfahrungen.

In verschiedenen Versionen des "IBM Business Automation Workflow" klaffte offenbar jahrelang aufgrund einer veralteten Javascript-Bibliothek eine Sicherheitslücke. Die hat IBM nun behoben und rät Nutzern zu Updates.

Anzeige

Das Dojo-Toolkit hatte bereits im Jahr 2021 eine kritische Sicherheitslücke, die das Einschleusen beliebigen Codes ermöglichte (CVE-2021-23450, CVSS 9,8/10). Bereits seinerzeit hatte IBM vor der Lücke gewarnt und auch Business Automation Workflow in der Liste der betroffenen Produkte aufgeführt. Erst jetzt gibt es jedoch Hinweise zur Behebung.

Da eine Vielzahl verschiedener Versionen und zwei Paketierungen der Software (ein "traditionelles" und ein Containerformat) existieren, ist die Liste der betroffenen Ausgaben unübersichtlich. IBM nutzt jedoch die Gelegenheit, um den Versions-Dschungel zu roden:

Im detaillierten IBM-Sicherheitshinweis finden sich alle Versionsnummern und die passenden Reparaturmaßnahmen.

In einer Zeit, in der Informationssicherheit immer wichtiger wird, sind kompetente Informationssicherheitsbeauftragte (ISB) gefragter denn je. Sie spielen eine Schlüsselrolle, wenn es darum geht, Sicherheitsrisiken zu minimieren und den Schutz sensibler Daten zu gewährleisten. Mitarbeiter werden zu Informationssicherheitsbeauftragten (ISB) ernannt. Hierbei sollte für Leitung wie auch zukünftige Beauftragte klar sein, welche Erwartungen, Verantwortlichkeiten und Befugnisse mit der Rolle verbunden sind und welche Kompetenzen hierfür erforderlich sind.

Anzeige

Der Einstiegsworkshop Startklar: Ihre Rolle als Informationssicherheitsbeauftragte bietet einen umfassenden Überblick über die Aufgaben und Verantwortlichkeiten von ISBs, wie auch die Anforderungen, die an diese gestellt werden. Die Schulung erläutert zudem den Stellenwert des ISB im Unternehmen, sowie die notwendigen Rahmenbedingungen, die von der Organisationsleitung geschaffen werden müssen, damit ein ISB seine Rolle effektiv steuern und angehen kann.

Zu Beginn des Workshops werden Grundlagen zur Informationssicherheit und zum Informationssicherheitsmanagement vorgestellt. Wir stellen dar, weshalb die Tätigkeiten von ISBs in ein Managementsystem integriert sein sollten und wie diese arbeiten. Prototypisch orientieren wir uns an einem ISMS nach ISO 27001 als international führenden Standard.

Im weiteren Verlauf stellen wir Aufgaben und Verantwortlichkeiten sowie die Stellung innerhalb einer Organisation vor. Wir betrachten, welche Kenntnisse in Bezug auf Informationssicherheit, IT und soziale Fähigkeiten von Vorteil sind. Zudem werden die Schnittstellen des ISB zu internen und externen Akteuren, Teamarbeit, notwendige fachliche Kenntnisse und Soft-Skills besprochen. Der Workshop schließt mit einer Übersicht über relevante Schulungen und unterstützende Tools.

Derzeit haben es Angreifer der Ransomwarebande PSAUX auf Server mit dem Control Panel CyberPanel abgesehen. Mittlerweile haben die Entwickler einen Sicherheitspatch veröffentlicht. Admins müssen jetzt handeln.

Anzeige

Die Warnung vor den Attacken stammt aus dem Supportbereich der CyberPanel-Website. Das Problem sind öffentlich erreichbare Admin-Interfaces, an denen die Angreifer zwei "kritischen" Sicherheitslücken (CVE-2024-51567, CVE-2024-51568) ausnutzen.

Die Schwachstellen hat ein Sicherheitsforscher mit dem Pseudonym DreyAnd entdeckt. In einem Beitrag beschreibt er die Sicherheitsproblematik ausführlich. Bei seiner Untersuchung stieß er auf drei Kernprobleme: CyberPanel prüft die Authentifizierung nicht global, sondern für einzelne Unterseiten. Das führe dazu, dass bestimmte Bereiche nicht durch eine Authentifizierung geschützt sind. Zusätzlich werden Nutzereingaben nicht ausreichend bereinigt, sodass Befehle mit Schadcode durchkommen können. Außerdem waren Sicherheitsfilterregeln vergleichsweise einfach umgehbar.

Dadurch sind Attacken aus der Ferne ohne Authentifizierung möglich und Angreifer können mit Root-Rechten auf Server zugreifen. In so einer Position sind weitreichende Zugriffe möglich, und Angreifer können Systeme vollständig kompromittieren. Medienberichten zufolge haben die PSAUX-Angreifer bereits rund 22.000 Instanzen attackiert.

Angreifer können an einer "kritischen" Sicherheitslücke in HBS 3 Hybrid Backup Sync ansetzen und sich auf NAS-Geräten von Qnap Admin-Rechte verschaffen. Nun haben die Entwickler die Schwachstelle geschlossen.

Anzeige

Die Backupsoftware wurde auf dem Hackerwettbewerb Pwn2Own Ireland 2024 von einem Teilnehmer erfolgreich attackiert. Wie der Veranstalter Trend Micro auf X mitteilt, war die Basis des Angriffs ein Command-Injection-Bug (CVE-2024-50388). Das hat dem Teilnehmer ein Preisgeld von 10.000 US-Dollar eingebracht.

Bislang gibt es keine Details, wie so ein Angriff im Detail ablaufen könnte. Wie aus einer Warnmeldung hervorgeht, hat der Hersteller vergleichsweise schnell reagiert und die Lücke geschlossen.

Wer ein Qnap-NAS besitzt, sollte im App Center sicherstellen, dass die gegen die geschilderte Attacke abgesicherte Version HBS 3 Hybrid Backup Sync 25.1.1.673 installiert ist.

In eine Entwicklungsplattform von Cisco sei jemand eingestiegen und hat ein paar Daten abgezogen. Die wollte der Täter im Untergrund verkaufen. Dafür habe er von seinen Kumpels viel Beifall bekommen. Im Endeffekt war alles viel Wirbel um nichts.

Anzeige

Vielen Leaks fehle es an Substanz. Es werde viel geblufft, weiß Dr. Christopher Kunz von heise Security PRO. Kunz spricht aus Erfahrung. Als Redakteur recherchiert er regelmäßig im Darknet. Außerdem kennt er einschlägige Cybercrime- und Ransomware-Foren.

Sehr viel brisanter seien Supply-Chain-Attacken. Wie schwer sie zu verhindern sind und welchen physischen Schaden sie anrichten können, ist ein Riesenproblem. Die explodierenden Pager der Hisbollah sind ein krasses Beispiel.

Seit im April vermehrt Password-Spraying- und Brute-Force-Attacken auf VPN-Log-ins vorkamen, hatte Cisco Tipps zur Absicherung von VPNs gegeben. Inzwischen hat Cisco die Anleitung mehrfach aktualisiert – und auch weitere Firmware-Versionen von ASA- und FTD-Appliances mit aktivierbaren Schutzfunktionen ausgestattet. Admins sollten sie kennen und aktivieren.

Anzeige

Die Anleitung mit den Tipps von Cisco gibt zunächst Einblick in das grundsätzliche Problem: Angreifer versuchen, unbefugten Zugriff zu Nutzerkonten zu erlangen, indem sie einige üblicherweise verwendete Passwörter für mehrere Konten ausprobieren. Schlimmstenfalls erlangen die Angreifer Vollzugriff und können betroffene Geräte vollständig kompromittieren, aber auch das Aufbrauchen von Ressourcen und ein damit einhergehender Denial-of-Service können die Folge sein. Andere Nutzerinnen und Nutzer können dann etwa VPN zum Netzwerkzugriff nicht mehr nutzen.

Um Angriffe etwa mittels Password-Spraying-Attacken zu erkennen, sei eine Überwachung der Systemprotokolle und der Einsatz bestimmter "show"-Befehle nötig. Etwa eine unüblich hohe Rate von zurückgewiesenen Authentifizierungsversuchen deute auf einen Angriff, was etwa durch die ASA-Syslog-IDs %ASA-6-113015, %ASA-6-113005 oder %ASA-6-716039 in den Protokollen auffällt.

Um solche Ereignisse zu sehen, muss zunächst das Logging aktiviert werden. Im zweiten Schritt soll die Konfiguration von den Bedrohungserkennungen für die VPN-Dienste (Remote Access VPN Services) erfolgen. Diese ermöglichen dann für IPv4-Verbindungen automatische Blockade nach Überschreiten einstellbarer Schwellwerte. Die neuen Erkennungen stehen bereit für "Repeated failed authentication attempts" (wiederholte fehlgeschlagene Authentifizierungsversuche), "Client initiation attacks" (Angreifer starten einen Verbindungsversuch, beenden ihn aber nicht) sowie "Connection attempts to invalid remote access VPN services" (Angreifer versuchen, auf Tunnel-Gruppen zu verbinden, die ausschließlich für interne Gerätefunktionen gedacht sind).

Anzeige

Die siebzehnte Episode von "Passwort", dem Podcast von heise security, bringt wieder verschiedene Themen mit, die die Branche in den vergangenen Wochen bewegten (und welche die Hosts für erzählenswert erachteten). Zum Warmwerden erzählt Christopher die Ereignisse rund um "Final Exchange" und "Operation Endgame" nach. Was klingt wie Arcade-Shooter aus den späten Achtzigern, sind tatsächlich die Codenamen für zwei Aktionen der Strafverfolgungsbehörden gegen Krypto-Börsen und digitale Geldwäscher. Ob dabei dicke Fische ins Netz gingen und wer bei der Verhaftungsaktion unerwartet rege mitmischte, ist Gegenstand der ersten halben Stunde der Podcastfolge.

Die Entwickler von Google haben mit dem wöchentlichen Chrome-Update zwei Sicherheitslücken in dem Webbrowser geschlossen. Eine davon stufen sie als kritisches Risiko ein – Nutzerinnen und Nutzer sollten daher vor dem Weitersurfen sicherstellen, die abgesicherten Versionen einzusetzen.

Anzeige

In einem Blog-Beitrag erläutern die Google-Programmierer, dass die Aktualisierung aus der Nacht zum Mittwoch zwei Schwachstellen ausbessert. Bei der einen handelt es sich um potenzielle Schreibzugriffe außerhalb dafür vorgesehener Grenzen in der Dawn-Komponente von Chrome (CVE-2024-10487, kein CVSS-Wert, Risiko laut Google "kritisch"). Dawn ist die Umsetzung des WebGPU-Standards in Chrome. Schreibzugriffe auf dafür nicht vorgesehene Speicherbereiche erlaubt Angreifern oftmals, Schadcode einzuschleusen und auszuführen. Die Anzeige einer manipulierten Webseite scheint dafür auszureichen und das Provozieren der Lücke nicht schwer zu sein, was die Risikoeinstufung nahelegt.

Zudem haben die Programmierer eine Use-after-free-Lücke in der WebRTC-Umsetzung abgedichtet. Dabei können Angreifer auf bereits freigegebene Ressourcen zugreifen, deren Inhalte dadurch nicht definiert sind, was sich ebenfalls häufig zum Ausführen von eingeschleustem Code missbrauchen lässt (CVE-2024-10488, kein CVSS-Wert, Risiko laut Google "hoch"). WebRTC umfasst Protokolle und Programmschnittstellen für die Echtzeitkommunikation.

Die Sicherheitslücken hat Google in Chrome für Android 130.0.6723.86, für iOS 130.0.6723.90, für Linux in Fassung 130.0.6723.91 sowie mit Version 130.0.6723.91/.92 für macOS und Windows geschlossen. Auch die "Extended Stable"-Version ist jetzt in Version 130.0.6723.92 für macOS und Windows abgesichert. Häufig dichtet Google mit den regelmäßigen Updates Sicherheitslecks ab, die maximal den Schweregrad hoch erreichen; als kritische Bedrohung eingestufte oder bereits in freier Wildbahn ausgenutzte Schwachstellen sind vergleichsweise selten – zuletzt war das Ende August der Fall. Wer Chrome einsetzt, sollte daher sicherstellen, die neuen Versionen zu verwenden.

Im Darknet ist eine Cybergang mit dem Namen "Playboy" zum vergangenen Wochenende erstmalig in Erscheinung getreten. Ein Eintrag auf deren Leak-Site erwähnt nun die Deutsche Industrie- und Handelskammer (DIHK), dazu zählt ein Countdown herunter. Er endet am 5. November um 15 Uhr mitteleuropäischer Zeit.

Anzeige

Der Eintrag zur DIHK im Darknet-Auftritt von "Playboy" liefert keine Details, was die Gruppe veröffentlichen will.

(Bild: Screenshot / dmk)

Der Eintrag auf der Darknet-Seite der Ransomware-Vereinigung liefert lediglich den Countdown, einen Umsatz von 28 Millionen US-Dollar und eine Kurzbeschreibung zur DIHK. Was die mutmaßlichen Kriminellen in knapp einer Woche veröffentlichen wollen, bleibt unklar. Auch eine konkrete Lösegeldforderung ist dort nicht öffentlich zu sehen.

Nach einem Ransomware-Angriff im Februar Anfang des Jahres bestätigt die UnitedHealth Group einen Datenabfluss, von dem mehr als 100 Millionen Menschen betroffen sind. Anfang Mai gab UnitedHealth bereits zu, dass ein Drittel der US-Bevölkerung von dem Vorfall betroffen sein könnte. Jetzt hat das "U.S. Department of Health and Human Services Office for Civil Rights" in seinem Data-Breach-Portal die Gesamtzahl der betroffenen Personen zu ebendiesem Drittel aktualisiert. Das entspricht 100 Millionen betroffenen US-Amerikanern.

Anzeige

Zu den gestohlenen Daten gehören Versicherungsinformationen, medizinische Dokumente, Zahlungsdaten sowie Sozialversicherungsnummern. Die Angreifer nutzten eine Sicherheitslücke bei der UnitedHealth-Tochter Change Healthcare [--] dem größten Bezahldienstleister im US-Gesundheitswesen.

Infolge eines Angriffs hatte die Ransomware-Gang AlphV, auch bekannt als BlackCat, laut Bleeping Computer rund 6 Terabyte an Daten erbeutet und Lösegeld gefordert – gezahlt wurde mehrfach. Zudem hatte der Vorfall erhebliche Auswirkungen auf die Patientenversorgung, Ärzte und Apotheker, aber auch auf US-Militär-Krankenhäuser weltweit. Patienten mussten teils in Vorleistung gehen und hohe Kosten für Medikamente selbst tragen. Seit dem Vorfall im Februar war es vielen Ärzten und Apotheken nicht möglich, die Systeme von UnitedHealth zu nutzen.

Change Healthcare bot den betroffenen Personen nach Bekanntwerden des Angriffs kostenlosen Identitätsschutz und Kreditüberwachung für zwei Jahre an. Zudem kooperiert das Unternehmen mit Cybersicherheitsexperten und Strafverfolgungsbehörden, um den Vorfall aufzuklären.

Wer mit Firefox oder Firefox ESR surft und mit Thunderbird E-Mails abruft, sollte die Browser und den Mailclient aus Sicherheitsgründen zeitnah aktualisieren.

Anzeige

Geschieht das nicht, können Angreifer aktuellen Beiträgen im Sicherheitsbereich der Mozilla-Website zufolge an mehreren Sicherheitslücken ansetzen und Systeme im schlimmsten Fall kompromittieren. Dabei kann unter anderem Schadcode auf PCs gelangen.

Wenn Barrierefreiheitsoptionen aktiv sind, können Angreifer auf einem nicht näher ausgeführten Weg Abstürze auslösen (CVE-2024-10459 "hoch"). Außerdem sind Schadcode-Attacken denkbar (CVE-2024-10467 "mittel").

Die Entwickler geben an, die Sicherheitslücken in Firefox 132, Firefox ESR 115.17, Firefox ESR 128.4, Thunderbird 128.4 und Thunderbird 132 geschlossen zu haben. Welche Betriebssysteme konkret bedroht sind, geht aus den Warnmeldungen nicht hervor. Unklar bleibt auch, wie Attacken im Detail ablaufen könnten und ob es bereits Angriffe gibt.

Die IT-Sicherheitsforscher von Arctic Wolf haben erhöhte Aktivitäten der Akira- und Fog-Ransomware beobachtet. Sie haben Schwachstellen in Sonicwalls SSL-VPNs für den Einstieg in Netzwerke missbraucht.

Anzeige

In einer ausführlichen Analyse erörtern die Arctiv-Wolf-Analysten, dass sie mindestens 30 Einbrüche mit Akira und Fog quer durch alle möglichen Branchen seit dem frühen August beobachtet haben. Sie alle haben gemein, dass Sonicwalls SSL-VPN früh in der Ereigniskette auftaucht.

Wie die IT-Forscher erklären, kamen die bösartigen VPN-Log-ins aus Netzwerken, die mit VPS-Hosting (Virtuelle Private Server) in Zusammenhang stehen. Das deutet darauf hin, dass entweder bei den Hosting-Providern Maschinen geknackt und missbraucht wurden, oder möglicherweise auch von den Cyberkriminellen direkt gemietet wurden. Die IP-Adressen lieferten einen guten Ansatzpunkt für die Verteidigung vor den Angriffen, um sie zu entdecken und zu blockieren.

Die Sonicwall-Geräte, durch die die Täter einbrechen konnten, waren allesamt nicht gegen die Schwachstelle CVE-2024-40766 gepatcht – mit einem CVSS-Wert von 9.3 gilt sie als kritisches Risiko. Anfang September warnte Sonicwall, dass diese Sicherheitslücke in den SSL-VPNs bereits aktiv angegriffen wird, und wies nochmals auf die verfügbaren Updates hin, die das Sicherheitsleck stopfen. Allerdings kann Arctic Wolf nicht konkret sagen, ob es tatsächlich diese Schwachstelle ist, die bei den Ransomware-Angriffen missbraucht wurden – aber der Patch-Stand liefert zumindest ein Indiz.

Sicherheitsforscher des AWS Security Team haben eine Phishing-Kampagne gestoppt, bei der tausende gefälschte AWS-Domains genutzt wurden. Amazon hat seit der Entdeckung der Kampagne massenweise Domains abgeschaltet. Die AWS-Sicherheitsforscher und das Computer Emergency Response Team der Ukraine, CERT-UA, bezichtigen die russische Cyberkriminellen-Gruppierung APT29. Die Angreifer haben demnach versucht, mit den gefälschten AWS-Domains Anmeldedaten von ukrainischsprachigen Zielen zu erbeuten.

Anzeige

Die gefälschten AWS-URLs dienten offenbar als Köder. Nachdem die Opfer auf den Link einer solchen URL geklickt hatten, landeten sie auf einer Malware-Downloadseite, die einen sogenannten RDP-Trojaner installiert, der Anmeldedaten von Windows-Systemen stiehlt.

Amazons Chief Information Security Officer CJ Moses schrieb in einem Posting auf LinkedIn, dass Amazon selbst nicht im Visier der Angreifer war. Auch zielten die Angriffe nicht auf Anmeldedaten von AWS-Kunden ab. Stattdessen hatten die Angreifer Ziele mit Verbindungen zu Regierungsbehörden, Unternehmen und dem ukrainischen Militär im Visier. Laut dem AWS-CISO entspricht das Vorgehen der Gruppe in diesem Fall nicht ihrem sonstigen Verhalten: APT29 verfolgte sonst eher einen enger gefassten Ansatz – dieses Mal seien die Phishingmails an viele Ziele verschickt worden.

Das ukrainische CERT hat ein Advisory mit weiteren Details zu dem Fall veröffentlicht. Cybercrime spielt im Krieg Russlands gegen die Ukraine auf beiden Seiten eine Rolle. Im Juni etwa machten die ukrainischen Behörden Personen dingfest, die sie der Cyberkriminalität verdächtigten, die mutmaßlich im Dienst russischer Auftraggeber handelten. Und laut einem Bericht der russischen Nachrichtenagentur Ria Novosti strebt Russland offenbar die Schaffung einer Cybersicherheitsbehörde an.

Der Taskforce "Operation Magnus" ist ein empfindlicher Schlag gegen ein weltweit agierendes Malware-Netzwerk gelungen. Dabei handele es sich global betrachtet um eine der größten Malware-Plattformen. Daran waren unter anderem die niederländische Polizei, das FBI und Strafermittler aus Australien beteiligt.

Anzeige

Wie aus einer Pressemitteilung hervorgeht, hat die Agentur der EU für justizielle Zusammenarbeit Eurojust die Ermittlungen koordiniert. Dabei wurden unter anderem drei Server in den Niederlanden aus dem Verkehr gezogen. Außerdem hat die Polizei zwei Verdächtige in Belgien festgenommen. Überdies haben die Ermittler Kommunikationskanäle der Kriminellen stillgelegt. Die Mitteilung liest sich so, als wäre bislang nicht das komplette Netzwerk lahmgelegt.

Den Ermittlern zufolge sollen die Kriminellen über ihr Malware-Netzwerk die Infostealer Redline und Meta weltweit an Millionen Opfer verteilt haben. Derartige Trojaner sind auf Log-in-Daten von Opfern aus. Diese werden dann oft im Darknet zum Verkauf angeboten. Darunter fallen Daten wie Nutzernamen nebst Passwörtern von Onlineaccounts, Cookies und Wallets für Kryptowährung. Derartige Daten dienen unter anderem für Betrug, aber auch Spionage.

Die Ermittler geben an, dass sie im Besitz von internen Daten der Kriminellen sind. Darunter sind unter anderem IP-Adressen, Passwörter und Sourcecode der Infostealer. Nun beabsichtigen sie, die Daten auszuwerten, um die Ermittlungen voranzutreiben. Davor warnen sie die Kriminellen in einem Video auf einer extra für Operation Magnus angelegten Website. Es ist davon auszugehen, dass die Ermittler in den kommenden Tagen weitere Server offline nehmen und Personen verhaften.

Das Raspberry-Pi-Projekt hat das daran angepasste Raspberry Pi OS aktualisiert. Die wichtigste Neuerung darin ist die Unterstützung von Wayland auf allen Raspberry-Pi-Modellen. Auch sonst gibt es einige kleinere Verbesserungen, etwa bei der Unterstützung von Touch-Displays.

Anzeige

Wie die Raspberry-Pi-OS-Maintainer in einem Artikel erklären, soll Wayland das betagte X Window System ablösen. Wayland verspreche mehr Geschwindigkeit und Sicherheit. Unter anderem, da die Apps nicht alle mit dem Display-Server kommunizieren, sondern Wayland diese auf Compositor-Ebene isoliert, können diese einander nicht beobachten. Daher war im vergangenen Jahr der Wechsel zu Wayland mit dem Compositor "wayfire" eine der größeren Neuerungen, die jedoch nur für die leistungsstärkeren und neueren Raspberry 4 und 5 zur Verfügung stand.

Bei der Suche nach einem besseren Compositor, der auch eher mit den Zielen der Raspberry-Pi-Maintainer zusammenpasst, sind sie auf "labwc" gestoßen. Das basiere auf einem Satz an Bibliotheken, die unter dem Namen "wlroots" die Grundfunktionen eines Wayland-Systems bereitstellen. Ein darauf basierender Wayland-Compositor müsse das Rad nicht neu erfinden, weshalb die Maintainer die Entscheidung zur Umstellung getroffen haben. Die meiste Zeit des vergangenen Jahres haben sie damit verbracht, labwc auf den Raspberry-Pi-Desktop zu portieren. Die Entwickler von labwc und wlroots haben dabei kräftig mitgeholfen. Am Ende der Bemühungen steht nun Wayland auf allen Raspberry-Pi-Modellen zur Verfügung.

Nach einem Update einer bestehenden Bookworm-Installation fragt Raspberry Pi OS, ob die Nutzer auf labwc wechseln oder bei wayfire verbleiben wollen. Die Entwickler empfehlen ausdrücklich den Wechsel auf labwc. Kommende Updates erhalten keinen weiteren Support für wayfire. Bisherige wayfire-Nutzer auf Raspi 4- und 5-Boards sollten keine Änderungen bemerken, außer einigen fehlenden Animationen, die die Maintainer noch nicht in labwc umgesetzt haben. Auch diejenigen, die jetzt noch X einsetzen, sollten wechseln. Die mitgelieferte Xwayland-Bibliothek liefert eine virtuelle X-Implementierung, durch die sonst nicht mit Wayland kompatible Apps trotzdem laufen können. Damit lassen sich ältere Apps weiternutzen, und dennoch die Vorteile von den jüngsten Sicherheits- und Performance-Updates einstreichen. Sollten Probleme auftreten, sei zudem jederzeit ein Wechsel zurück zu X möglich. Der Aufruf an der Kommandozeile von "raspi-config" mittels sudo raspi-config hat dafür unter "6 Advanced Options" die Option "W1 X11 Openbox window manager with X11 backend" im Unterpunkt "A6 Wayland"; nach einem Neustart des Raspis läuft dann wieder X.

Apple hat neben seinen großen Updates auf iOS 18.1, iPadOS 18.1, macOS 15.1, tvOS 18.1, watchOS 11.1 sowie visionOS 2.1 auch ältere Betriebssysteme mit Aktualisierungen versorgt. Seit Montagabend stehen nun auch macOS 14.7.1 (Sonoma), macOS 13.7.1 (Ventura) sowie iOS 17.7.1 und iPadOS 17.7.1 zum Download bereit. Wie üblich gibt es hier keine neuen Features, dafür eine ganze Reihe von Sicherheitsfixes, weshalb ein schnelles Einspielen angeraten ist. Eine einzelne Aktualisierung für den Apple-Browser Safari gab es hingegen nicht, was verwirrt, weil in macOS 15.1 mehrere Fehlerbehebungen für Bugs in der Browser-Engine WebKit stecken.

Anzeige

macOS 14.7.1 enthält fast 40 Fixes, die zahlreiche Bereiche betreffen. Darunter sind AppleMobileFileIntegrity, CUPS, DiskArbitration, Find My (sensible Ortsdaten lesbar), PackageKit, der Kernel sowie Siri (Auslesen sensibler Daten durch eine App in einer Sandbox). Drei weitere Fehler in NetworkExtension, Security und Spotlight benennt Apple nicht näher.

Auch die Beschreibungen der Fehler, die von der Modifizierung geschützter Systembereiche über Denial-of-Service-Angriffe bis hin zum Auslesen privater Informationen reichen, fallen leider seit kurzem sehr knapp aus. Warum Apple so vorgeht, ist unklar. macOS 13.7.1 kommt mit über 30 Fixes und drei nicht näher ausgeführten Problemstellen. Auch hier gibt es Lücken problematischer Art. iOS 17.7.1 und iPadOS 17.7.1 enthalten 16 Fixes plus drei nicht näher ausgeführte (die auch in den beiden alten macOS-Versionen behandelt wurden).

Apple hat inzwischen auch die Listen mit den in macOS 15.1, iOS 18.1 und iPadOS 18.1 sowie watchOS 11.1, tvOS 18.1 und visionOS 2.1 enthaltenen sicherheitskritischen Änderungen publiziert. In Sequoia behebt Apple fast 50 Fehler, in iOS 18.1 und iPadOS 18.1 sind es knapp 25. In Sequoia konnten Angreifer unter anderem sensible Dateien verändern (PackageKit), Kontakte auslesen (Fotos), Teile der Private-Browsing-History auslesen (Safari) oder sensible Ortsdaten auslesen (Find My). Auch Denial-of-Service-Angriffe und die Modifizierung von Systemteilen waren möglich.