Comretix Blog

"Das Ausmaß wesentlicher Verletzungen der IT-Sicherheit herunterzuspielen, ist eine schlechte Strategie. " Das schreibt Jorge G. Tenreiro von der US-Kapitalmarktbehörde SEC börsennotierten Firmen ins Stammbuch. Die Behörde hat gerade Unisys, Avaya, Check Point und Mimecast bestraft, weil sie die Auswirkungen von Angriffen über Solarwinds Orion kleingeredet haben. Tenreiro ist amtierender Leiter der Crypto Assets and Cyber Unit (CACU) der SEC (Securities Exchange Commission).

Anzeige

Mutmaßlich staatlichen Hackern Russlands ist es 2019 gelungen, SolarWinds' Orion-Plattform zu kompromittieren und einen Trojaner in offizielle Updates einzuschmuggeln. SolarWinds vertreibt Netzwerk- und Sicherheitsprodukte, die damals mehr als 300.000 Kunden weltweit eingesetzt haben. Darunter befinden sich viele Fortune 500-Unternehmen, Regierungsbehörden wie das US-Militär, das Pentagon und das Außenministerium. Durch das Einspielen der Updates wurden ihre Systeme ab März 2020 kompromittiert. Ende 2020 entdeckte Fireeye die Hintertüren. Im Februar 2021 sprach Microsoft-President Brad Smith vom "größten und raffiniertesten Angriff, den die Welt je gesehen hat".

Unisys muss mit vier Millionen US-Dollar die höchste Strafe zahlen, weil die Behörde dort eine weitere Verfehlung entdeckt hat: Die interne Aufsicht über die rechtlich vorgeschriebenen Mitteilungen an Aktionäre, Gläubiger und potenzielle Investoren war mangelhaft. Das trägt laut SEC mit Schuld daran, dass Unisys seine IT-Sicherheitsrisken als rein hypothetisch beschrieben hat, obwohl Solarwinds-Einbrecher sich nicht nur einmal, sondern bereits zweimal Zugriff auf Unisys-Systeme verschafft und Daten exfiltriert hatten.

Avaya zahlt eine Million Dollar. Das auf Dienstleistungen rund um Unified Communications spezialisierte Unternehmen hat zwar zugestanden, dass die Täter eine "beschränkte Zahl an E-Mails der Firma" abgerufen haben. Leider vergaß Avaya zu erwähnen, dass sich die Einbrecher auch an mindestens 145 Dateien im cloudbasierten Filesharing zu schaffen gemacht haben.

Offenbar haben Cyberkriminelle bemerkt, dass sie die Taktiken, die sie auf anderen Plattformen fahren, auch auf Apple-Systeme anwenden können. Sicherheitsforscher der Firma Trend Micro haben macOS-Malware entdeckt, die in der Lage ist, Dateien zu sperren und Daten zu exfiltrieren. Bisher gab es Ransomware, die auf macOS abzielt, bestenfalls als Proof of Concept, schlechtestenfalls tat sie nicht, was sie sollte.

Anzeige

Nach erfolgter Verschlüsselung der Dateien auf dem System gab sich die Malware per geändertem Desktop-Banner als LockBit-Ransomware aus. Offenbar stammte die Schadsoftware jedoch nicht von der bekannten Ransomware-Gruppe, auch wenn einer der erfolgreicheren unter den vorangegangenen Versuchen, Ransomware für macOS zu entwickeln, tatsächlich von LockBit stammte. Das Wallpaper zeigte die Aufschrift LockBit 2.0, die Schadsoftware der Gruppierung liegt allerdings schon seit Längerem in Version 3.0 vor und die Entwickler wurden gefasst. Hinter dem jetzt entdeckten Sample scheint ein anderer Akteur zu stecken, der nur den Namen der bekannteren Gruppierung nutzt.

Geschrieben ist die Ransomware laut der Forscher in der von Google entwickelten Programmiersprache Go. Sie wird als x86_64-Binärdatei verteilt, was bedeutet, dass sie nur auf Macs mit Intel-Prozessor läuft – oder auf Apple Silicon Macs, auf denen die Rosetta Emulation Software installiert ist.

Forscher der Firma Sentinel, die das Thema auf ihrem Blog aufgreifen, schlagen den Namen macOS.NotLockBit für die Schadsoftware vor. Sie haben zusätzlich zu den bereits von anderen Forschern identifzierten eine Reihe weiterer sogenannter Mach-O-Dateien gefunden. Mach-O ist ein spezielles Dateiformat für Programme, Objektcode und dynamische Bibliotheken, das in macOS verwendet wird. In einem Blogpost haben sie sogenannte Indicators of Compromise (IoC) untersucht. Anhand solcher Hinweise lässt sich im Allgemeinen überprüfen, ob eigene Systeme befallen sein könnten.

Symantec ist bei der Untersuchung populärer Apps auf hartkodierte und unverschlüsselte Zugangsdaten zu Cloud-Diensten in der Codebasis gestoßen. Dadurch könne jeder mit Zugriff auf die App-Binary oder die Quellen dazu diese Zugangsdaten extrahieren und sie missbrauchen, um Daten zu manipulieren oder exfiltrieren. Das führe zu ernst zu nehmenden Sicherheitsverstößen.

Anzeige

In einem Blog-Beitrag analysieren Symantecs IT-Forscher mehrere beispielhafte Apps. Dabei konzentrieren sie sich auf solche, die hartkodierte Zugangsdaten zu Amazon Web Services (AWS) und Microsoft Azure Blob Storage enthalten.

Die Android-App "Pic Stitch: Collage Maker" kommt auf mehr als fünf Millionen Installationen im Play Store und enthält Zugangsdaten zu AWS. Zudem findet sich das Problem auch in drei populären iOS-Apps, etwa "Crumbl", "Eureka: Earn Money for Surveys" und "Videoshop - Video Editor". "Crumbl" hat im Apple-Store knapp vier Millionen Bewertungen erhalten und steht auf Platz fünf der Kategorie "Essen und Trinken". Die darin gespeicherten Klartext-Zugangsdaten lassen sich zur Konfiguration von AWS-Diensten nutzen, was Missbrauch Tür und Tor öffne. Die verwendete URL als API-Endpunkt zu IoT-Diensten in AWS erleichtere Angriffe wie das Abfangen und Manipulieren von Kommunikation und schließlich unautorisierten Zugriff zu den damit verbundenen AWS-Ressourcen, erörtern Symantecs Mitarbeiter. Die "Eureka"-App hat immerhin mehr als 400.000 Bewertungen vorzuweisen, die "Videoshop"-App hingegen mehr als 350.000.

Aber auch Zugangsdaten zu Azure-Cloud-Diensten finden sich in Apps. Etwa die Android-App "Meru Cabs" wurde mehr als fünf Millionen Mal aus dem Google Play Store heruntergeladen. Die darin eingebetteten Verbindungs-Zeichenketten und Zugangsschlüssel würden kritischen Cloud-Speicherplatz offenlegen und potenziellem Missbrauch aussetzen. Am Ende der Meldung hat Symantec eine Tabelle mit App-Namen, deren Download-Anzahl respektive Bewertungsanzahl und zu welchem Cloud-System Zugangsdaten enthalten sind, gesammelt.

Nachdem Botnetze der Bumblebee-Malware nach einer großangelegten gemeinsamen Operation von Sicherheitsbehörden mehrerer Länder im Mai vorerst vom Netz genommen worden waren und die Malware vorerst von der Bildfläche verschwunden war, ist sie jetzt offenbar wieder aufgetaucht. Das berichten Sicherheitsforscher der Firma Netskope.

Anzeige

Die von Netskope entdeckte Bumblebee-Infektion beginnt mutmaßlich mit einer Phishing-E-Mail, die eine ZIP-Datei mit einer LNK-Datei namens "Report-41952.lnk" enthält. Sobald sie ausgeführt wird, startet sie die Angriffskette und lädt den Schadcode direkt aus dem Netz in den Speicher. In den von den Forschern analysierten Beispielen war diese als Installationsprogramm von Midjourney oder Nvidia getarnt. Weil sie die Erstellung neuer Prozesse vermeidet, ist diese neue Version der Malware laut der Forscher noch unauffälliger zuvor. Die Forscher haben eine Liste mit sogenannten Indicators of Compromise (IoC) auf GitHub veröffentlicht, anhand der sich überprüfen lässt, ob eigene Systeme befallen wurden.

Die nach dem sympathischen Insekt benannte Malware war im März 2022 erstmals von Googles Threat Analysis Group (TAG) gesichtet worden, sie nutzte den Namen "Bumblebee" als Teil des User-Agents im Referer. Damals stellten IT-Sicherheitsexperten erstmals fest, dass Cyberkriminelle, die vormals vornehmlich eine andere Malware namens BazarLoader oder alternativ IcedID nutzten, vielfach auf den Bumblebee-Loader umgestiegen waren. Derartige Malware wird auch Dropper genannt. Dabei handelt es sich um ein Paket mit einem Virus, der ein System befällt, um dann weitere Schadsoftware nachzuladen. Der Dropper dient dabei quasi als Träger für das Virus. Es wird davon ausgegangen, dass der Bumblebee-Loader von der Trickbot-Ransomware-Gruppe entwickelt wurde, um bei Ransomware-Angriffen initialen Zugriff auf die Infrastruktur ihrer Opfer zu erlangen.

Im Jahr 2023 kam die Bumblebee-Malware dann in Malvertising-Kampagnen zum Einsatz. Die Angreifer haben damit trojanisierte Installationsprogramme für professionelle Software angeboten. Diese Malware-Pakete haben sie mittels SEO-Poisoning und Malvertising auf Suchmaschinen platziert.

Vor zwei Wochen hat der Bundestag erstmals über das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz beraten. Fachleute gehen davon aus, dass die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) im Frühjahr 2025 in Deutschland in Kraft tritt – eigentlich endete die Umsetzungsfrist am 18. Oktober 2024.

Anzeige

Betroffene Unternehmen müssen ein Informationssicherheitsmanagementsystem (ISMS) einführen, technische Maßnahmen zur Erhöhung der Cybersicherheit treffen sowie Notfallpläne, Risikomanagement und Business Continuity Management implementieren. Bei Cybervorfällen bestehen Meldepflichten, außerdem nimmt NIS2 die Geschäftsführung für die IT-Sicherheit in die Pflicht.

NIS2 erweitert den Kreis der regulierten Unternehmen über kritische Infrastrukturen hinaus: Rund 29.000 Unternehmen in Deutschland unterliegen der NIS2-Regulierung. Indirekt betroffen sind zudem Zulieferer und Dienstleister dieser Unternehmen, denn NIS2 erfordert auch Maßnahmen zur Absicherung der Lieferkette.

In der Online-Konferenz NIS2 – was jetzt zu tun ist erläutern erfahrene IT-Recht- und Cybersecurity-Spezialisten welche Unternehmen betroffen sind, welche konkreten Anforderungen NIS2 stellt und welche Maßnahmen in welchen Fristen umzusetzen sind. Teilnehmende erfahren zudem, wie NIS2 mit etablierten Sicherheitskonzepten wie ISO 27001 und IT-Grundschutz zusammenspielt, was NIS2 für den Umgang mit Cybervorfällen bedeutet und wie sich die Richtlinie auf Zulieferer und IT-Dienstleister auswirkt.

In Firewall-Produkten von Cisco klaffen teils kritische Sicherheitslücken. Der Hersteller hat nun zahlreiche Sicherheitsmitteilungen mit zugehörigen Softwareaktualisierungen veröffentlicht, die die Probleme korrigieren sollen.

Anzeige

Auf der Übersichtsseite von Cisco zu Schwachstellenmeldungen haben die Entwickler in der Nacht zum Donnerstag 37 Mitteilungen eingestellt, lediglich eine davon aktualisiert eine Meldung aus dem November 2023. Drei der Sicherheitsmeldungen behandeln als kritisches Risiko eingestufte Sicherheitslücken, elf solche mit hohem Risiko, 21 als mittleren Bedrohungsgrad eingestufte Schwachstellen und eine weitere Meldung hat informativen Charakter ohne Risikobewertung.

Die Schwachstellen betreffen etwa Ciscos Firepower Threat Defense Software, die Secure Firewall Management Center-Software oder die Adaptive Security Appliances von Cisco. IT-Verantwortliche sollten prüfen, ob sie verwundbare Produkte einsetzen und bereitstehende Aktualisierungen anwenden oder gegebenenfalls verfügbare Workarounds anwenden.

Die Auflistung der als kritisch respektive hochriskant eingestuften Sicherheitsmitteilungen:

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel Active Directory: Effiziente Absicherung lernen Sie die wichtigsten Angriffstechniken wie Pass the Hash und Delegierungsschwachstellen kennen. Sie erfahren, wie Sie mit Werkzeugen wie PowerView und Bloodhound sowie Audit-Tools wie PingCastle Fehlkonfigurationen und Schwachstellen in Ihrem lokalen AD identifizieren und anschließend beheben, um das Herzstück Ihrer IT effektiv gegen Angriffe zu schützen.

Anzeige

Referent des zweitägigen Workshops ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München.

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Angriffe auf und Absicherung von Entra ID.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf eine Sicherheitslücke in Microsofts Sharepoint-Server. Updates zum Schließen der missbrauchten Schwachstelle stehen bereit, die IT-Verantwortliche spätestens jetzt installieren sollten.

Anzeige

Die CISA schreibt in einer Mitteilung, dass sie die Schwachstelle CVE-2024-38094 in den Known-Exploited-Vulnerabilities-Katalog aufgenommen hat. Wie die Angriffe aussehen, die auf die Lücke beobachtet wurden, oder in welchem Ausmaß sie vorkommen und wie IT-Verantwortliche Attacken darauf erkennen können, erörtert die Behörde – wie üblich – nicht.

Bei der Sharepoint-Sicherheitslücke handelt es sich um eine nicht näher erläuterte "Deserialisierung nicht vertrauenswürdiger Daten", wie Microsoft in einer eigenen Sicherheitsmitteilung schreibt. "Authentifizierte Angreifer mit Site-Owner-Berechtigung können die Schwachstelle missbrauchen, um beliebigen Code einzuschleusen und diesen Code im Kontext des Sharepoint-Servers ausführen", schreiben die Redmonder Entwickler, und ordnen dem Leck mit einem CVSS-Wert von 7.2 ein hohes Risiko zu. "Ein Missbrauch ist eher wahrscheinlich", findet sich als Einschätzung in Microsofts Mitteilung.

Betroffen sind die Microsoft Sharepoint Server Subscription Edition, der Microsoft Sharepoint Server 2019 sowie Microsoft Sharepoint Enterprise Server 2016, gibt Microsoft in dem Advisory an. Der CVE-Eintrag listet noch genauer betroffene Build-Nummern auf, der Sharepoint Enterprise Server 2016 ist von Version 16.0.0 bis vor Fassung 16.0.5456.1000 anfällig, der Sharepoint Server 2019 von 16.0.0 bis vor Version 16.0.10412.20001 und die Subscription Edition von 16.0.0 bis vor Stand 16.0.17328.20424, wobei die jeweils letzteren die Lücken schließen.

Fortinet hat eine Sicherheitsmitteilung zu einer kritischen Sicherheitslücke in Fortimanager veröffentlicht. Es handelt sich um die Sicherheitslücke, die die Anfang der Woche bekannt gewordenen Aktualisierungen für Fortimanager abdichten. Sie werden bereits von Cyberkriminellen im Internet angegriffen, warnt nun auch die US-amerikanische Cybersicherheitsbehörde CISA, die die Lücke in den Known-Exploited-Vulnerabilities-Katalog aufgenommen hat.

Anzeige

Fortinet als registrierte CVE Numbering Authority (CNA) hat einen CVE-Eintrag für die Sicherheitslücke angelegt und veröffentlicht, CVE-2024-47575, mit einem CVSS-Wert von 9.8 als kritisches Risiko eingestuft. "Eine fehlende Authentifizierung in einer kritischen Funktion in Fortimanager [...] ermöglicht Angreifern, beliebigen Code oder beliebige Befehle mittels sorgsam präparierter Anfragen auszuführen", beschreibt der Hersteller die Sicherheitslücke.

Das CERT-Bund des BSI stuft die Sicherheitslücke abweichend sogar als maximal kritisch ein, mit einem CVSS-Wert von 10.0. Die Fortinet-Entwickler haben derweil einige Informationen zur Schwachstelle in einer Sicherheitsmitteilung gesammelt. Dort präzisiert das Unternehmen, dass die fehlende Authentifizierung den fgfmd-Daemon betreffen. Laut einer Erläuterung vom IT-Sicherheitsforscher Kevin Beaumont dient der Dienst dazu, FortiGate-Appliances im FortiManager zu registrieren.

Er sieht weitere Fehler in der Implementierung: Standardmäßig können sich beliebige Geräte, auch solche mit unbekannter Seriennummer, am FortiManager registrieren und zum verwalteten Gerät werden. Lediglich ein gültiges Zertifikat muss ein Client vorweisen, wobei ein beliebiges einer FortiGate-Appliance genutzt werden kann, was keine echte Hürde darstelle. Nach der Registrierung kommt eine Schwachstelle auf dem FortiManager selbst zum Tragen, die Angreifern das Ausführen beliebigen Codes erlaubt, über die "gefälschte" FortiGate-Verbindung. Da der FortiManager weitere FortiGate-Firewalls verwaltet, können Angreifer auf diese zugreifen, Konfigurationen einsehen, verändern oder Zugangsdaten übernehmen. Beaumont ergänzt, dass Managed Service Provides oftmals FortiManager einsetzen und Angreifer so in Netzwerke derer Kunden eindringen können.

Sicherheitslücken in der Bibliothek OpenSSL betreffen meist das gesamte Internet. Schließlich dient die Sammlung von Verschlüsselungsfunktionen vielen Anwendungen als Grundlage für Protokolle wie HTTPS. Dass das Projekt für eine Sicherheitslücke mit Potenzial zur Code-Ausführung vorerst keine Patches veröffentlicht, lässt aufhorchen. Tatsächlich haben die Entwickler gute Gründe – die Warnungen anderer Sicherheitsteams sind hingegen aus formalen Gründen alarmistischer.

Anzeige

Der Sicherheitshinweis des OpenSSL-Entwicklerteams, der kürzlich auf verschiedenen Mailinglisten auftauchte, las sich wie ein Routinefall. Durch die Wahl bestimmter Parameter bei der Verschlüsselung mit einer speziellen Gruppe elliptischer Kurven entsteht unter Umständen ein Szenario, in dem unzulässige Lese- und Schreiboperationen im Hauptspeicher zu Abstürzen führen können. Auch die Ausführung von Schadcode können die OpenSSL-Entwickler nicht ausschließen.

Das Risiko der Lücke mit der CVE-ID CVE-2024-9143 schätzten sie als niedrig ein, weil der Fehler schwierig auszunutzen sei. Nur Anwendungen, die exotische Parameter für die elliptische Kurve (GF(2m)) aus Nutzereingaben verwenden, sind theoretisch angreifbar – das OpenSSL-Team sah daher davon ab, Notfallpatches für die Lücke zu veröffentlichen. Sie besteht in den OpenSSL-Versionen 3.3, 3.2, 3.1., 3.0, 1.1.1 und 1.0.2 und soll in den bisher nicht erschienenen Versionen 3.3.3, 3.2.4, 3.1.8, 1.0.16, 1.1.1zb und 1.0.2zl behoben werden.

Sowohl der Linux-Distributor SuSE als auch das Computer Emergency Response Team für Bundesbehörden (CERT-Bund) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzten die Risiken jedoch anders ein: SuSE vergab einen CVSS-Wert von 7 (Risiko: hoch), CERT-Bund gar 8,1 von 10 Punkten. Auf die Diskrepanz angesprochen, erklärte Johannes Segitz aus dem SuSE-Sicherheitsteam gegenüber heise Security, die CVSS-Skala tue sich mit der Angriffswahrscheinlichkeit schwer. Sie gehe stets von einem Worst-Case-Szenario aus, was den hohen Punktwert erkläre.

Apple möchte die Laufzeit von TLS-Zertifikaten ab 2027 auf zehn Tage begrenzen. Das hat der Konzern dem CA/Browser Forum vorgeschlagen. Die Zertifikate werden zur Verschlüsselung der HTTPS-Verbindungen zwischen Webserver und Client verwendet. Eine Verkürzung der Laufzeit würde, so die Befürchtung vieler Kritiker, Prozesse zur Verlängerung erschweren – Befürworter pochen hingegen auf nachweisbare Sicherheitsgewinne.

Anzeige

TLS- oder SSL-Zertifikate, die formal X.509-Zertifikate heißen, sind derzeit maximal dreizehn Monate (398 Tage) gültig, die häufig verwendeten kostenlosen Zertifikate von "Let's Encrypt" lediglich 90 Tage. Server-Administratoren, die auf Let's Encrypt setzen, verwenden zur Erneuerung daher häufig automatisierte Werkzeuge, die auf dem ACME-Protokoll (Automatic Certificate Management Environment) aufbauen. Solche Automatismen sind weniger fehlerträchtig als händische Prozesse.

In einem auf Github veröffentlichten Abstimmungsvorschlag, dem sogenannten Ballot SC-081, legt Apple den Zeitplan für die Laufzeitverkürzung dar. Beginnend mit dem 15. September 2025 solle die Gültigkeitsdauer schrittweise von derzeit 398 auf künftig 10 Tage gesenkt werden.

Google hatte bereits im vergangenen Jahr versucht, die Laufzeit aller TLS-Zertifikate auf 90 Tage zu beschränken, war damit aber nicht überall auf Gegenliebe gestoßen. Von der seinerzeit deutlich formulierten Idee ist das Google-Team jedoch mittlerweile abgerückt. Die entsprechende Projekt-Seite enthält lediglich den vagen Passus, Google "untersuche die Auswirkungen einer Reduktion von 397 Tagen auf 90 Tage oder weniger". Noch im September dieses Jahres hieß es, man plane die entsprechende Verkürzung in Chrome einzuführen oder zumindest dem CA/Browser Forum vorzuschlagen.

Googles TAG-Team hat eine in freier Wildbahn missbrauchte Sicherheitslücke in Android-Treibern zu Samsungs Mobilprozessoren entdeckt. Samsung schließt sie mit den Sicherheitsupdates für Smartphones im Oktober.

Anzeige

In ihrer Analyse schreiben Googles IT-Sicherheitsforscher, dass im Samsung-Treiber "m2m1shot_scaler0" eine Use-after-free-Sicherheitslücke klafft, die Angreifer bereits ausgenutzt haben. Der Treiber dient Hardware-beschleunigten Multimedia-Funktionen wie JPEG-Dekodierung und Bildgrößenänderungen. Bei einer Use-after-free-Lücke greift der Programmcode fälschlicherweise auf Ressourcen zu, die bereits freigegeben wurden und deren Inhalte daher nicht definiert sind. Das lässt sich oftmals zum Ausführen eingeschmuggelten Schadcodes missbrauchen.

Keine Details zu den Angriffen

Wie die Angriffe aussehen und wer sie auf wen verübt hat, geht aus Googles Analyse nicht hervor. Der Exploit der Schwachstelle ist jedoch Teil einer Kette zur Ausweitung der Rechte im System. Bösartige Akteure führen am Ende beliebigen Code in einem hoch privilegierten "cameraserver"-Prozess aus. Den Prozess hat der Exploit zudem in "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein." umbenannt, vermutlich, um die forensische Analyse zu erschweren.

Die IT-Forensiker erörtern detailliert, wie der Exploit Speicherseiten aus dem Userspace in I/O-Speicherseiten zuordnet, einen Firmware-Befehl absetzt und schließlich die gemappten I/O-Speicherseiten "einreißt", um so Code im physischen Speicher zu erreichen. Wie die Angriffe auf die Smartphones jedoch konkret aussehen, ob sie etwa mit manipulierten Webseiten, mit präparierten Medienstreams oder gar bösartigen Apps erfolgen, erörtern Googles Mitarbeiter nicht. Sie schreiben jedoch, dass etwa das Galaxy S10 für den Exploit anfällig ist.

Microsoft hat die Update-Vorschauen im Oktober für Windows 11 23H2, 22H2 sowie Windows 10 22H2 veröffentlicht. Zu den wichtigen Neuerungen zählen etwa eine umstellbare Copilot-Taste oder eine optimierte Akkunutzung. Die Vorschau für Windows 11 24H2 soll "in Kürze" folgen.

Anzeige

Die Update-Vorschau mit der KB-Nummer KB5044380 hebt Windows 11 auf den Stand 22621.4391 und 22631.4391. Microsoft hebt einige Verbesserungen hervor, etwa, dass unter "Einstellungen" – "Personalisierung" – "Texteingabe" nun konfigurierbar ist, welche Anwendung die Copilot-Taste öffnen soll. Die auf neuerer Hardware vorhandene Taste öffnet in der Regel die Copilot-App. Sofern die Nutzeranmeldung mit einem Entra-ID-Konto erfolgt, soll sich die M365-App öffnen. In den Einstellungen lassen sich nun auch andere Apps auswählen, unter der Voraussetzung, dass sie in einem signierten MSIX-Paket vorliegen. Die Entwickler nennen eine weitere Einschränkung: Hat der PC keine Copilot-Taste, bewirkt die Einstellung nichts.

Laptops konnten zudem zu viel Strom verbrauchen, sofern sie sich im "modernen Standbymodus" befanden, das soll das Update korrigieren. Auf einigen Systemen konnte eine Outlook-Besprechungserinnerung dazu führen, dass eine Teilnahme an einer Teams-Sitzung nicht möglich war. Bei der Nutzung von Multifunktionsdruckern mit Anbindung durch ein USB-Kabel konnte ein Netzwerkbefehlstext ausgegeben werden – die konkreten Auswirkungen davon beschreibt Microsoft jedoch nicht.

Ein schrittweiser Rollout ist für weitere Änderungen vorgesehen. Für Spieler dürfte die Einführung eines neuen Gamepad-Tastaturlayouts für die Bildschirmtastatur unter Umständen interessant sein – es soll die Möglichkeit liefern, sich mit dem Xbox-Controller auf dem Bildschirm zu bewegen und Eingaben vorzunehmen. "Vorschläge zum Deaktivieren von Benachrichtigungen" im Systemtray lassen sich deaktivieren, etwa durch Klicken der drei Punkte ("...") neben der Benachrichtigung oder unter "Einstellungen" – "System" – "Benachrichtigungen". "Alle Apps" im Startmenü erfährt eine Umbenennung in "Alle".

Damit US-Behörden die Sicherheit ihrer Microsoft-Cloud-Nutzung selbst prüfen können, hat die US-Sicherheitsbehörde CISA ScubaGear entwickelt. Das deckt verbreitete Konfigurationsfehler, Policy-Verstöße und andere Sicherheitsprobleme systematisch auf und gibt praktische Hinweise, wie man diese Probleme beseitigt. Unser erstes Scuba-Webinar war ausverkauft, deshalb bieten wir es am 4. Dezember erneut an.

Anzeige

Das heise-security-Webinar erklärt das Konzept und die Funktionsweise des Tools. Es zeigt ganz konkret, wie man es selbst nutzen kann, um die Sicherheit seines M365-Tenants zu verbessern. Dazu gehört auch, wie Sie das US-amerikanische Tool in einem deutschen beziehungsweise europäischen Kontext sinnvoll einsetzen.

Im Webinar geht es vor allem darum, reale Angriffe zu verhindern. Der Referent Tim Mittermeier erläutert dazu typische Angriffstechniken der Angreifer, um sich Zugriff auf Cloud-Infrastrukturen zu verschaffen und Privilegien zu erhöhen. Darauf aufbauend erklärt er mit praktischen Beispielen, wie man solche Schwachstellen in Microsoft Entra ID und M365 mit ScubaGear – und anderen, vergleichbaren Werkzeuge – gezielt aufspüren kann. Abschließend gibt er Tipps zur Härtung der Entra-Mandanten und M365-SaaS-Applikationen. Administratoren und Sicherheitsverantwortliche erhalten damit direkt umsetzbare Hilfestellung bei der sicheren Konfiguration ihres M365-Tenants.

Das Webinar am 4. Dezember dauert etwa 90 Minuten und sieht dabei reichlich Zeit für Ihre Fragen und natürlich die Antworten darauf vor. Es richtet sich an alle, die Microsoft 365 in Unternehmen oder Behörden einsetzen und dabei auch für dessen Sicherheit und Compliance verantwortlich sind. Die Teilnahme kostet regulär 145 Euro; bis zum 5. November gilt der Frühbucher-Tarif von 129 Euro. Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen und dieses und viele weitere heise-security-Webinare jederzeit in der exklusiven PRO-Mediathek abrufen.

Broadcom hat Updates für den VMware vCenter Server herausgegeben, die eine kritische sowie eine hochriskante Sicherheitslücke darin schließen. Es handelt sich um den zweiten Versuch, die Schwachstellen abzudichten.

Anzeige

Bereits Mitte September hatte Broadcom die Sicherheitsmitteilung mitsamt einer Software-Aktualisierung veröffentlicht. Jetzt hat das Unternehmen die Mitteilung aktualisiert und schreibt dort: "VMware by Broadcom hat herausgefunden, dass die vCenter-Patches vom 17. September 2024 die Schwachstelle CVE-2024-38812 nicht vollständig ausbessern. Alle Kunden werden nachdrücklich aufgefordert, die in der Response Matrix aufgelisteten Patches zu installieren. Zudem sind nun Patches für die vCenter 8.0 U2-Reihe verfügbar".

Bei der Sicherheitslücke mit dem CVE-Eiintrag CVE-2024-38812 handelt es sich um einen Heap-basierten Pufferüberlauf, den die Entwickler mit einem CVSS-Wert von 9.8 als kritisches Risiko einstufen. Angreifer können durch Senden manipulierter Netzwerkpakete an verwundbare Maschinen den Fehler in der Implementierung des DCERPC-Protokolls auslösen und dadurch Schadcode einschleusen und ausführen.

Die fehlerkorrigierten Versionen lauten jetzt VMware vCenter 8.0 U3d, 8.0 U2e und 7.0 U3t sowie VMware Cloud Foundation 8.0 U3d, 8.0 U2e und 7.0 U3t. Die Versionen sind allesamt höher als die bisher verfügbaren, offenbar unwirksamen Updates aus dem September.

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.

Meta Platforms plant mit Gesichtserkennung gegen Scammer vorzugehen, die mit bekannten Persönlichkeiten werben oder sich als solche ausgeben. Denn Werbekampagnen etwa bei Facebook werden automatisiert geprüft, wobei Methoden Künstlicher Intelligenz wie maschinelles Lernen genutzt werden. Jetzt wird dafür testweise Gesichtserkennung hinzugezogen. Das testet der Facebook-Konzern auch bei verlorenen Zugängen zu eigenen Profilen. Künftig sollen auch Video-Selfies zur Identifikation und damit zur Wiederherstellung von Nutzerkonten genügen, wenn das erkannte Gesicht zu Bildern des Profils passt.

Anzeige

Dabei hat der Konzern keine guten Erfahrungen mit Gesichtserkennung. Jahrelang hatte Facebook die Gesichter mehr als einer Milliarde Menschen biometrisch ausgewertet – oft ohne Einwilligung. Nach Protesten von Bürgerrechtlern 2021 hat Meta Facebooks Gesichtserkennungs-Profile gelöscht. Verklagt wurde das Unternehmen trotzdem. 2022 hat Meta Nutzer in Illinois wegen der unerlaubten Gesichtserkennung in Facebook entschädigt, was auf 650 Millionen US-Dollar hinauslief. Teurer wurde es in Texas. Dort kostete die Gesichtserkennung Meta 1,4 Milliarden Dollar.

Jetzt will der Facebook-Konzern Gesichtserkennung produktiv zu positiven Zwecken verwenden. Ein Ansatzpunkt ist der Kampf gegen Scam auf den eigenen Plattformen. Scammer nutzen oft Bilder bekannter Persönlichkeiten, um für ihr Angebot zu werben und Klicks zu generieren (Celeb-Bait). Solche Angebote würden vielfach dazu genutzt, um persönliche Daten und sogar Geld abzugreifen. Das verstoße gegen die Nutzungsbedingungen, schreibt Meta, und würde den Nutzern schaden.

Da Werbung auf den Meta-Plattformen nicht von Menschen, sondern automatisiert geprüft und freigegeben wird, würden manche Scamming-Methoden nicht erkannt. Nun will der Konzern Gesichtserkennung einsetzen, um missbräuchliche Kampagnen mit Prominenten besser herausfiltern zu können. Das habe Meta mit einer kleinen Gruppe von Berühmtheiten erfolgreich getestet und werde in den kommenden Wochen ausgebaut. Die betroffenen Personen werden darüber informiert und können selbst entscheiden, ob sie daran teilnehmen (Opt-out). Meta verspricht, alle während des Prozesses der Gesichtserkennung gesammelten Daten nach Abschluss der Prüfung zu löschen.

In sozialen Netzen verdichten sich die Informationen, dass Fortinet mit aktualisierten Versionen von FortiManager eine Sicherheitslücke abdichtet, die bereits in freier Wildbahn angegriffen wird. Der IT-Sicherheitsforscher Kevin Beaumont warf bereits Ende vergangener Woche auf Mastodon die Frage auf, ob die "FortiManager Zero-Day-Situation bereits einen CVE-Eintrag oder einen Patch erhalten hat".

Anzeige

Am Wochenende legte Beaumont nach, dass sechs neue Versionen von FortiManager erschienen seien, die die Zero-Day-Lücke in dem Produkt schließen sollen. Ein CVE-Eintrag oder eine Problembeschreibung fehlen derweil noch immer. Auf Reddit stellen sich Betroffene die Frage, wofür etwa das Release FortiManager 7.2.8 gut sei. Die jüngsten Beiträge im Mastodon-Thread deuten darauf, dass offenbar bösartige Akteure falsche FortiGates im FortiManager mit Hostnamen wie "localhost" registrieren und diese dazu missbrauchen, Schadcode einzuschleusen und auszuführen. Beaumont ist ein in der Regel gut informierter IT-Sicherheitsforscher.

Offenbar hat Fortinet einige Kunden bereits "im Privaten" darüber informiert, dass Updates bereitstehen und diese zügig installiert werden sollten. Die aktualisierten Fassungen lauten demnach FortiManager 7.6.1, 7.4.5, 7.2.8, 7.0.13 sowie 6.4.15 oder neuere.

Diese stehen beim Hersteller auf den IT-Verantwortlichen bekannten Wegen zum Herunterladen zur Verfügung. Admins sollten die Aktualisierungen zügig anwenden, da die Schwachstelle – derzeit lediglich Gerüchten zufolge – bereits ausgenutzt wird. Die Übersichtsseite des Fortiguard PSIRT (alle Produkte von Fortinet im Link aktiviert) zeigt derzeit lediglich eine Fehlermeldung an, dass sie nicht erreichbar sei. Im Laufe des Tages fanden sich dort jedoch lediglich ältere Hinweise, die bis zur vergangenen Woche reichten. Zu FortiManager war kein neuer Eintrag vorhanden.

Im Webmailer Roundcube, der etwa im universitären Umfeld und auch bei Regierungsorganisationen häufig zum Einsatz kommt, versuchen Angreifer, eine Sicherheitslücke zu missbrauchen. Die Angreifer versuchten konkret, Zugangsdaten und weitere Mails der potenziellen Opfer abzugreifen, sie also auszuspähen.

Anzeige

Positive Technologies schreibt in einer Analyse, dass sie die Angriffe im September 2024 entdeckt haben. Eine E-Mail, die auf den Juni datierte, wurde dort an eine Regierungsorganisation eines GUS-Staates gesendet. Die E-Mail schien keinen Text zu enthalten, lediglich einen Anhang. Im Client wurde der Anhang jedoch nicht angezeigt. Ein Java-Befehl im Mail-Body dekodierte Javascript-Code, der ausgeführt wird. Der Attribut-Name "href " mit einem zusätzlichen Leerzeichen sei Indiz dafür gewesen, dass die Sicherheitslücke CVE-2024-37383 in Roundcube attackiert wurde.

Bei der Schwachstelle handelt es sich um eine Cross-Site-Scripting-Lücke bei der Verarbeitung von SVG-Animate-Attributen. Sie wurde in den Versionen Roundcube 1.5.7 und 1.6.7 im Mai geschlossen. Durch die Lücke können Angreifer Javascript-Code im Kontext von Nutzern ausführen lassen.

Die Angreifer-Mail hat mit den dekodierten Javascript-Anweisungen ein leeres Dokument "Road map.docx" gespeichert, das Base64-kodiert wurde. Zudem versuchten sie, Nachrichten vom Mailserver mit dem Managesieve-Plug-in zu erhalten. Außerdem zeigte der Code ein Autorisierungsformular für die Zugangsdaten zum Roundcube-Client an. Hier hoffen die Angreifer, dass die Felder automatisch oder manuell von den Opfern befüllt werden, die glauben, dass sie sich erneut anmelden müssen.