Comretix Blog

Supply-Chain-Angriffe, regulatorische Herausforderungen und neue technologische Entwicklungen – im neuen Report "The State of Software Supply Chain" hat Sonatype, Anbieter von Anwendungen für das Supply-Chain-Management, über sieben Millionen Open-Source-Projekte analysiert und Trends sowie Herausforderungen herausgearbeitet.

Anzeige

Mit inzwischen über 6,6 Billionen Downloads an Open-Source-Komponenten pro Jahr und dem Umstand, dass quelloffene Pakete inzwischen bis zu 90 Prozent moderner Softwareanwendungen ausmachen, sind Entwicklerinnen und Entwickler mit neuen Herausforderungen konfrontiert. Besonders rund um JavaScript (npm-Pakete) und Python (PyPi-Bibliotheken) führt die steigende Zahl an Abfragen und Abhängigkeiten zu einem über die letzten Jahre gestiegenem Risiko von Malware und Supply-Chain-Angriffen, also das Einschleusen von bösartigem Code. Letztere können Code-Repositorys, Build-Systeme und Distributionskanäle betreffen.

Tatsächlich identifiziert der Report allein für das vergangene Jahr über 512,000 verdächtige Pakete im OSS-Ökosystem, was über die letzten Jahre betrachtet einem Anstieg von rund 156 Prozent von Jahr zu Jahr entspricht.

Bis zu 4,5 Milliarden npm-Pakete pro Jahr verdeutlichen die Verbreitung quelloffener Komponenten in der Software Supply Chain.

Juniper Networks hat einen ganzen Schwung an Sicherheitsmitteilungen veröffentlicht und veranstaltet eine Art Patchday. Zu den Advisories gehörende Patches dichten mehr als 30 Sicherheitslücken ab.

Anzeige

Die Auflistung der aktuellen Security-Bulletins von Juniper Networks enthält gleich mehrere Security-Bulletins, die etwa Probleme mit dem Border Gateway Protocol (BGP) betreffen. Die Auswirkungen reichen von Denial-of-Service-Situationen hin zur Ausführung von untergeschobenen Befehlen oder Schadcode.

Von den Sicherheitslücken gilt eine in Junos OS als kritisches Risiko. Sie betrifft die mitgelieferte Open-Source-Software nginx. Eine der nginx-Lücken erreicht einen CVSS-Wert von 9.8, erörtern die Autoren der Warnung von Juniper. 13 weitere Sicherheitsmitteilungen behandeln Schwachstellen, die die Entwickler des Herstellers als hohes Risiko einstufen.

IT-Verantwortliche mit Juniper-Networks-Hardware in ihrer Organisation sollten die Liste der Security-Bulletins prüfen, ob die eingesetzten Geräte oder Software-Versionen von den Sicherheitslücken betroffen sind. In den einzelnen Mitteilungen nennt Juniper Networks die verwundbaren Versionen und ab welcher Fassung die Sicherheitslecks gestopft sind. Die zugehörigen Aktualisierungen sollten Admins zügig herunterladen und installieren, um die Angriffsfläche in ihren Netzwerken zu reduzieren. Teils nennt Juniper auch temporäre Gegenmaßnahmen in den Sicherheitsmitteilungen, die das Risiko reduzieren helfen, sollten Updates nicht unmittelbar installierbar sein.

Wer glaubt, NTLM sei erledigt, irrt. Angreifer nutzen dessen Sicherheitslücken immer noch routinemäßig aus, um Windows-Netze zu attackieren. Denn obwohl Microsoft diese Authentifizierungsverfahren selbst als veraltet erklärt, wird es wohl noch Jahre dauern, bis sie die endgültig abschalten. Und bis dahin müssen sich Admins mit den Gefahren herumschlagen, die sich daraus ergeben und ihre Netze gezielt dagegen absichern.

Anzeige

Dabei hilft Ihnen das heise security Webinar NTLM: Microsofts Erbsünde und wie Admins damit sinnvoll umgehen. Es erklärt die konzeptionellen Schwächen von NTLM, zeigt, wie Angreifer diese konkret ausnutzen und stellt schließlich Konzepte vor, wie Admins das verhindern können. Dabei diskutiert der Referent Frank Ully insbesondere auch, welche Probleme man sich mit den verschiedenen Maßnahmen einhandelt und wie man damit dann wieder umgehen kann. Der praxisorientierte Vortrag mündet schließlich in ein Konzept, wie Sie Ihr Windows-Netz schrittweise absichern und dabei die trotzdem vorhandenen Restrisiken weitestmöglich einschränken

Das Webinar findet statt am Mittwoch, dem 16. Oktober 2024 und dauert circa zwei Stunden, in denen auch viel Raum für Fragen der Teilnehmer vorgesehen ist. Wie bei allen heise security Events ist die Veranstaltung komplett werbefrei und unabhängig. Sie richtet sich vor allem an Administratoren und Sicherheitsverantwortliche in Unternehmen und Behörden aller Größen. Die Teilnahme kostet 145 Euro; Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen (ihr erhaltet die Informationen dazu wie üblich über den exklusiven Security-Newsletter und im neuen PRO-Forum).

Weitere Informationen zum Webinar und die Möglichkeit sich anzumelden gibt es auf der Webseite zu:

Qualcomm hat eine Zero-Day-Sicherheitslücke bei einer Reihe von Mobilprozessoren und Funktechnikchips bestätigt, die von böswilligen Angreifern bereits ausgenutzt wird. Details gibt es bislang kaum, aber da viele der betroffenen Chips für Android-Smartphones und -Tablets schon einige Jahre auf dem Markt sind, könnte es etliche Angriffsversuche gegeben haben. Qualcomm geht allerdings von begrenzten und gezielten Angriffen aus.

Anzeige

Die bislang unbekannte Zero-Day-Lücke wird als CVE-2024-43047 geführt und könnte unberechtigten Zugriff auf den Speicher des Geräts ermöglichen. Qualcomm gibt der Schwachstelle eine hohe Sicherheitsbewertung, die US-Cybersicherheitsbehörde CISA stuft sie als kritisch ein. Nach Angaben Qualcomms wurde sie Ende Juli dieses Jahres entdeckt. Der Konzern hat seine Kunden Anfang September entsprechend informiert und einen Patch zur Verfügung gestellt, den die Hersteller der Android-Geräte ausspielen sollen.

Zu den von der Sicherheitslücke betroffenen Qualcomm-Plattformen zählen neben WLAN- und Bluetooth-Chips auch die bei Android-Smartphones vielfach genutzten Mobilprozessoren Snapdragon 660, 680, 685, 865, 870, 888 und 888+ sowie die Snapdragon 8 Gen 1 Mobilplattform. Der Snapdragon 660 wurde bereits 2017 eingeführt und war vor allem bei Smartphones der Mittelklasse chinesischer Hersteller wie Xiaomi sehr beliebt. Der Snapdragon 888+ war der High-End-Chip Qualcomms des Jahres 2021, im Jahr darauf ist der Snapdragon 8 Gen 1 erschienen.

Die Zero-Day-Lücke gefunden haben Googles Sicherheitsforscher der "Threat Analysis Group", die sich auf staatlich unterstützte Cyberattacken fokussiert, und das "Security Lab" der Menschenrechtsorganisation Amnesty International, das die Gesellschaft vor digitaler Überwaschung und Spyware schützen will. Beide Organisationen bestätigen, dass die Sicherheitslücke angegriffen wurde. Während Google den Angaben Qualcomms laut Techcrunch nichts hinzufügen wollte, verspricht Amnesty International, dass ein entsprechender Untersuchungsbericht in Kürze erscheinen wird.

Der Rat der Europäischen Union hat am Donnerstag den Cyber Resilience Act (CRA) beschlossen. Mit dem Votum der Innen- und Justizminister der EU-Staaten können die neuen Regelungen für mehr Sicherheit bei vernetzten Geräten in Kraft treten. Die EU will damit erreichen, dass mit dem Netz verbundene Geräte von Computern über Kaffeemaschinen bis zu Babyphones besser gegen Cyberangriffe geschützt werden.

Anzeige

"Vernetzte Produkte erleichtern unseren Alltag, können aber auch von Kriminellen ausgenutzt werden. Deshalb müssen sie sicher sein", sagte Bundesinnenministerin Nancy Faeser (SPD). Verbraucher müssten sich darauf verlassen können, dass vernetzte Geräte im Haushalt kein Sicherheitsrisiko darstellten.

Die neue Verordnung verpflichtet Hersteller, Importeure und den Handel. Produkte, die das bekannte CE-Kennzeichen tragen, müssen künftig auch gegen IT-Angriffe gesichert sein. Zudem müssen Hersteller IT-Schwachstellen und -vorfälle einer zentralen Meldestelle berichten und regelmäßig Sicherheitsupdates anbieten.

Die Hersteller sollen dafür sorgen, "dass alle Produkte mit digitalen Elementen" sowie einer "logischen oder physischen Datenverbindung" im Einklang mit den in der Verordnung formulierten "grundlegenden Cybersicherheitsanforderungen konzipiert und entwickelt werden". Das betrifft ein breites Portfolio von Haushaltsgeräten, Computer-Hardware, Unterhaltungselektronik, Software und Cloud-Lösungen.

Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt davor, dass derzeit ältere Sicherheitslücken in mehreren Fortinet-Produkten angegriffen werden. Sie hat die Sicherheitslücke in den Known-Exploited-Vulnerabilities-Katalog aufgenommen. Das verpflichtet US-Behörden zum zeitnahen Handeln, sollte aber auch für hiesige Organisationen ein Weckruf sein.

Anzeige

In der Warnung der CISA findet sich lediglich ein Hinweis auf die Sicherheitslücken, auf die Angriffe beobachtet wurden. Neben den bereits seit Mittwoch dieser Woche bekannten missbrauchten Lücken in Ivantis CSA warnt die Behörde vor einer Format-String-Schwachsstelle in mehreren Fortinet-Produkten, auf die Cyberkriminelle es derzeit offenbar abgesehen haben.

Wie die Angriffe aussehen und wie Betroffene erfolgreiche Attacken erkennen können, erörtert die CISA wie üblich nicht. Jedoch ist die Lücke selbst bekannt, es geht um die Schwachstelle CVE-2024-23113, mit einem CVSS-Wert 9.8 als "kritisches" Risiko eingestuft. Die Sicherheitslücke geht auf eine Umwandlung von extern kontrollierbaren Eingaben mittels sogenannter Format-String-Funktionen in von der Software weiter verarbeitete Daten zurück. Mittels speziell präparierter Netzwerkpakete können Angreifer dadurch unbefugt Schadcode oder Befehle einschleusen.

Fortinet hat in der zugehörigen Sicherheitsmitteilung betroffene Produkte und die Versionen aufgezählt, die den Fehler korrigieren. IT-Verantwortliche sollten schleunigst auf mindestens die nachfolgend genannten, besser jedoch auf den aktuell verfügbaren Softwarestand aktualisieren. Die Lücke beseitigen FortiOS 7.4.3, 7.2.7 und 7.0.14, FortiPAM in einer nicht genauer genannten Version, wobei FortiPAM 1.3 nicht betroffen sein soll, FortiProxy 7.4.3, 7.2.9 sowie 7.0.16 und schließlich FortiWeb 7.4.3.

Nach dem Ende des Geschäftsbetriebs in den USA wickelt Kaspersky nun auch das Geschäft im Vereinigten Königreich ab. Medienberichten zufolge müssen die "weniger als 50 Mitarbeiter" des Londoner Büros gehen.

Anzeige

Gegenüber heise online bestätigte Kaspersky den Schritt. "Kaspersky wird den Betrieb der britischen Niederlassung abwickeln", erklärt das Unternehmen. Der Geschäftsbetrieb in dem Land soll sich auf den Partnerkanal umorientieren. "Dieser Schritt ermöglicht unserem Unternehmen, vorhandene Geschäftsmöglichkeiten im britischen Markt effizienter zu nutzen und den geschäftlichen Wohlstand zu stärken", führt Kaspersky aus.

Wie das Unternehmen weiter erklärt, erhalten Kunden und Partner im Vereinigten Königreich vollen Zugang zum europäischen Team von Kaspersky und dessen Partnernetzwerk. "Dadurch werden wir weiterhin Kasperskys Cyber-Security-Produkte und -Dienste anbieten."

Demnach bleibe die europäische Region ein Schlüsselmarkt. Die aktuellen Änderungen spiegelten Kasperskys Konzentration auf geschäftlichen Erfolg und Profitabilität wider. Das sei die Schlüsselstrategie des Unternehmens für die künftige Geschäftsentwicklung.

Apple hat in der Nacht zum 4. Oktober mit macOS 15.0.1 einen schwerwiegenden Bug behoben, der zu Netzwerkunterbrechungen führen konnte, wenn auf dem Rechner bestimmte Arten von Sicherheitswerkzeugen installiert waren. Inzwischen ist klarer geworden, woran es lag. Außerdem wurde bekannt, dass es schon vor dem Golden-Master-Release von macOS 15 einen entsprechenden Bugreport gegeben haben soll – auf den hin Apple zunächst nichts unternahm.

Anzeige

Im Beipackzettel von macOS 15.0.1 heißt es nur treuherzig, das Update verbessere "die Kompatibilität mit Sicherheitssoftware Dritter". Dass diese Kompatibilität vor Sequoia gegeben war, steht da nicht. Bis zum Fix hatte es zuvor gut drei Wochen gedauert. Der Sicherheitsexperte Patrick Wardle fand heraus, dass der Fehler offenbar schon Wochen vorher bei Apple angelandet war. "Jeder Apple-Apologet, der Drittanbieter beschuldigt, verdient es, mit einer großen Forelle geschlagen zu werden, da dies ein Apple-Bug war, der vor GM gemeldet wurde", schreibt er auf X.

Wie es zu dieser Ignoranz kam, bleibt unklar. In der Praxis bedeutete der Bug, dass bestimmte Verbindungstypen bei aktiven Netzwerkfiltern (über Apples Network-Extension-Framework, das die Sicherheitswerkzeuge nutzen) zu Abbrüchen auf TCP-Ebene kam – womöglich, weil diese abstürzen. Das galt sogar für ssh via Terminal, aber auch für andere Routinen. Bei ssh wurden etwa Fehlermeldungen wie "Connection corrupted" oder "Wrong Key Size" ausgespuckt. Ohne Netzwerkfilter arbeiteten die Verbindungen. Betroffen waren zahlreiche Sicherheits-Apps, die besonders im Geschäftsumfeld eingesetzt werden – jene von SentinelOne, Microsoft, ESET und CrowdStrike etwa. Auch Little Snitch hatte Schwierigkeiten.

Mit macOS 15.0.1 scheint es Apple nun gelungen zu sein, die Netzwerkfilter via Network Extensions (wieder) stabiler zu machen, sodass Verbindungsabbrüche nicht mehr auftreten. Ein weiteres Problem mit der App-Firewall wird in Apples Beipackzettel nicht erwähnt. Dabei wurden einlaufende UDP-Pakete rückstandsfrei entsorgt, was zu DNS-Fehlern führte.

Im Webbrowser Firefox klafft eine Sicherheitslücke, die bereits aktiv in freier Wildbahn angegriffen wird. Aktualisierte Browser-Versionen stopfen das Sicherheitsleck.

Anzeige

Die Mozilla-Entwickler warnen in einer Sicherheitsmitteilung, dass es sich um eine Schwachstelle in Zeitleisten von Animationen handelt. Durch eine Use-after-free-Lücke haben Angreifer in der Inhaltsverarbeitung (content process) Code einschleusen und ausführen können (CVE-2024-9680, noch kein CVSS-Wert, Einstufung durch Mozilla-Programmierer als "kritisch"). Bei diesem Schwachstellentyp greift der Programmcode auf Ressourcen zu, die bereits freigegeben wurden und deren Inhalte daher undefiniert sind. Das lässt sich häufig für Codeschmuggel missbrauchen.

Wie die Angriffe konkret aussehen und wie sich überprüfen lässt, ob der eigene Webbrowser angegriffen wurde, erörtern die Entwickler jedoch nicht. Betroffen sind laut Mozilla-Stiftung Firefox und Firefox ESR. Die Versionen 131.0.2 von Firefox sowie die ESR-Fassungen 128.3.1 und 115.16.1 stehen bereit, um die Lücken abzudichten. Thunderbird scheint nicht betroffen zu sein, zumindest erwähnt Mozilla das Mailprogramm nicht.

Der Versionsdialog von Firefox findet und installiert die aktualisierte Software. Der findet sich nach Klick auf das Einstellungsmenü, das sich hinter dem Symbol mit den drei horizontalen Strichen rechts von der Adressleiste verbirgt, und den weiteren Weg über "Hilfe" unter "Über Firefox".

Das Internet Archive hat es sich zur Aufgabe gemacht, flüchtige Daten für die Nachwelt aufzubewahren: Webseiten, Bücher, aber auch historische Software, Apps und Filme. Die nach US-Recht gemeinnützige Organisation hat einen gewaltigen Datenschatz angesammelt. Nun wurde bekannt, dass Teile dieses Schatzes, nämlich die Zugangsdaten der Archive-Nutzer, in unbefugte Hände gerieten. Außerdem litt das Internet Archive in den vergangenen Tagen unter einem dDoS und einer Defacement-Attacke.

Anzeige

Bereits im September diesen Jahres haben Angreifer sich Zugriff auf interne Systeme des Archives verschafft und die Mitgliederdatenbank kopiert. Neben Benutzername und E-Mail-Adresse erbeuteten die Cyberkriminellen auch die mittels "bcrypt" gehashten Passwörter der archive.org-Konten. Obgleich die meisten Inhalte des Internet-Archivs auch ohne Zugang abrufbar sind, wird für die virtuelle Ausleihe von Medien, etwa E-Books oder Filmen, und für weitere Funktionen ein Konto benötigt.

Am 30. September wurde die Nutzerdatenbank Troy Hunt, dem Betreiber des Dienstes "Have I been pwned" (HIBP) zugespielt, der jedoch auf Reisen war und erst knapp eine Woche später das Internet Archive darüber in Kenntnis setzte. Er spielte die Daten in seine Datenbank "geownter" Nutzerkonten ein, mit dem Ziel, seine Abonnenten innerhalb von 72 Stunden zu informieren.

Das geschah nun in der Nacht zum Donnerstag. HIBP informierte Betroffene per E-Mail über den Datenklau. Obgleich die Zugangspasswörter im "bcrypt"-Verfahren gehasht sind und dieses relativ sicher gegen Cracking und Brute-Force-Angriffe ist, sollten Nutzer des Internet Archive ihr Kennwort vorsichtshalber ändern.

Sie arbeiten in einem kleinen bis mittelgroßen Unternehmen (KMU) und möchten Ihre Sicherheit verbessern? In unserem iX-Workshop Effiziente IT-Sicherheit für kleine und mittlere Unternehmen erhalten Sie an zwei Vormittagen sinnvolle Ansätze für einen kosteneffizienten Schutz und lernen praxisnahe Lösungen und Strategien kennen – speziell auf die Bedürfnisse von KMUs zugeschnitten.

Anzeige

Ausgehend von der aktuellen Bedrohungslage im Bereich der Informationstechnologie erläutern Ihnen unsere Sicherheitsexperten, welche konkreten Schritte Sie unternehmen können, um Ihr Unternehmen abzusichern. Sie erfahren, wie Sie auch mit begrenzten Ressourcen effiziente Maßnahmen ergreifen können, um Ihre IT-Sicherheit zu verbessern und Risiken zu minimieren. Neben grundlegenden Tätigkeiten, Best Practices und typischen Fallstricken werden auch praktische Meilensteine für Ihre Projektplanung vorgestellt.

Dieser Einführungsworkshop legt den Fokus auf einen allgemeinen Überblick über die relevanten Themen und Technologien. Diskussionen dienen der Veranschaulichung der Inhalte und Sie haben die Möglichkeit, sich aktiv einzubringen und Fragen zu stellen. Trainer dieses Kurses sind Sicherheitsexperten der secuvera GmbH: Ann-Kathrin Udvary - leitende Cybersicherheitsberaterin und Viktor Rechel - leitender Cybersicherheitsberater.

Der Workshop richtet sich an Unternehmen mit 10 bis 1.000 Mitarbeitenden, die über kein oder nur ein rudimentäres Informationssicherheits-Managementsystem (ISMS) verfügen. Dabei spielt es keine Rolle, ob Sie Ihre IT-Administration selbst durchführen oder an einen IT-Dienstleister ausgelagert haben. Er dient als Einführung in das Thema Cyber- und IT-Sicherheit und richtet sich daher vorrangig an diejenigen, die in ihrer Firma für Geschäftsrisiken, Strategie und/oder Administration zuständig sind.

Ohne Passwort einfach per Geräte-PIN, Fingerabdruck oder Gesichtsscan bei Webdiensten einloggen: Was vor zwei Jahren, als Apple das Konzept auf der Entwicklerkonferenz WWDC erstmals unter dem Namen Passkeys vorstellte, noch wie Zukunftsmusik klang, ist mittlerweile Realität. Passkeys, der FIDO2-basierte Anmeldestandard, der das Passwort als Default-Anmeldemethode im Internet mittelfristig ablösen soll, kommt in der Anwenderrealität an. Große Webdienste wie Google, PayPal oder Amazon bieten das sichere Anmeldeverfahren an, die großen Browser unterstützen es und sogar die Zahlungsdienstleister Visa und Mastercard machen mit und schützen Onlinezahlungen per Passkey.

Anzeige

"Apple Passwörter" ist seit iOS 18 und macOS 15 eine eigene App. Die höhere Sichtbarkeit des betriebssystemeigenen Passwortmanagers könnte der Verbreitung von Passkeys zugutekommen.

Trotzdem wird das passwortlose, Phishing-resistente Anmeldeverfahren noch lange nicht von der breiten Masse der Internetnutzer verwendet. Zum einen liegt das laut einer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführten Umfrage an der fehlenden Bekanntheit des Verfahrens. Zwar kannten 38 Prozent der Befragten den Begriff Passkeys, nur 18 Prozent gaben jedoch an, sie auch zu nutzen. Unter der Mehrheit der befragten Passkey-Nutzer, 72 Prozent, genießt das Verfahren immerhin ein hohes oder sehr hohes Vertrauen. Sie werten unter anderem die hohe Nutzungsfreundlichkeit positiv.

Ein Großteil der US-amerikanischen Gesundheitsorganisationen (92 Prozent) war in den vergangenen 12 Monaten eigenen Angaben zufolge mindestens von einem Cyberangriff betroffen. 69 Prozent davon gaben an, dass auch die Patientenversorgung beeinträchtigt war. Das zeigt eine Umfrage des Ponemon Institute und von Proofpoint Inc., bei der 647 IT-Fachkräfte aus US-Gesundheitsorganisationen befragt wurden. Demnach haben Gesundheitsorganisationen weiterhin Schwierigkeiten, die Auswirkungen solcher Angriffe zu verringern.

Anzeige

Laut der Umfrage beeinflussen Angriffe auf die Lieferkette am ehesten die Patientenversorgung. 82 Prozent der Befragten, deren Organisationen von Lieferkettenangriffen betroffen waren, berichteten von Störungen in der Patientenversorgung.

Zu den vier häufigsten Angriffsarten gehören Angriffe auf Cloud-Dienste- oder Accounts, Angriffe auf die Lieferkette, danach folgen mit Abstand Ransomware-Angriffe und "Business Email Compromise" oder Spoofing. Diese führten bei 56 Prozent der betroffenen Organisationen zu einer Beeinträchtigung der Patientenversorgung, etwa aufgrund von Verzögerungen bei Tests oder Operationen, was für Krankenhäuser in der Regel mit hohen Kosten verbunden ist.

Messaging- und E-Mail-Dienste werden am meisten attackiert.

Microsoft plant, die Passkey-Verwaltungsfunktionen in Windows 11 zu überarbeiten. Die Bedienoberfläche zum Speichern und Verwalten der privaten Schlüssel, Windows Hello, bekommt ein Redesign. Eine neue Schnittstelle in Windows 11 soll das direkte Zusammenspiel des Betriebssystems mit Drittanbieter-Passwortmanagern zur Passkey-Verwaltung ermöglichen. Außerdem sollen mit Windows Hello erstellte Passkeys künftig über den Microsoft-Account zwischen Windows-Rechnern synchronisierbar werden.

Anzeige

Mit Windows Hello erstellte Passkeys sollen künftig nicht mehr nur lokal auf dem jeweiligen Rechner, sondern im Microsoft-Account des jeweiligen Nutzers gesichert werden und zwischen dessen etwaigen Zweit- oder Dritt-Rechnern synchronisiert werden können.

Eine neue API soll es Windows-Nutzern künftig ermöglichen, in Drittanbieter-Apps wie 1Password oder Bitwarden auf dem Smartphone oder Tablet gesicherte Passkeys nahtlos in Windows 11 zu nutzen. Zu diesem Zweck wurden auch gleich die Benutzerführung und Bedienoberfläche in Windows Hello überarbeitet. Beim Erstellen eines Passkeys am Rechner mit Windows Hello wird es laut Blogpost künftig die Möglichkeit geben, zu wählen, ob dieser in einem Drittanbieter-Passwortmanager oder im Microsoft Account gesichert werden soll.

Damit weicht Microsoft von seiner bisherigen Linie ab. Mit Windows Hello erstellte Passkeys werden bisher lediglich lokal auf dem Gerät gesichert, mit der Neuerung wandern sie wahlweise in die Microsoft- oder in die Cloud eines Passwortmanagers.

HP warnt vor einer Sicherheitslücke in der HP Hotkey-Support-Software, die die Funktionen für die Schnellzugriffstasten wie Lautstärkeregelung auf der Tastatur bereitstellt, von zahlreichen Business-Notebooks. Angreifer können dadurch ihre Rechte im System ausweiten. Es gibt jedoch Software-Aktualisierungen, um das Problem zu beheben.

Anzeige

Eine Schwachstelle sei in der HP Hotkey Support-Software entdeckt worden, erörtert Hewlett Packard in einer Sicherheitsmitteilung. Sie erlaube es Angreifern, ihre Rechte auszuweiten (CVE-2024-27458, CVSS 8.8, Risiko "hoch"). Die Lücke verpasst damit gerade so eben eine Einordnung als kritisches Risiko. Genauere Details, wie die Lücke ausgenutzt werden kann oder wie sich erfolgreiche Angriffe abwehren lassen, nennt HP jedoch nicht.

Die Sicherheitsmitteilung listet die betroffenen Geräte auf. Es handelt sich vorrangig um HP Business-Notebooks der Baureihen Elite, Elitebook, Pro, Probook sowie ZBook. Dabei sind jeweils unterschiedliche Fassungen, etwa bei den ZBooks jeweils Varianten der Serien Firefly, Fury und Studio betroffen. Zudem ergänzt HP, dass auch die Point-of-Sale-Systeme HP Engage Go 10 sowie 13.5 anfällig sind.

Die Auflistung verlinkt für die einzelnen betroffenen Geräte ein Softpaq, das die aktualisierte Hotkey-Support-Software enthält: SP154474. Wer HP-Business-Notebooks einsetzt, sollte daher die Liste prüfen, ob die eigenen Geräte darin auftauchen, und auf anfälligen Notebooks die aktualisierte Software herunterladen und installieren.

Das Wordpress-Plug-in Litespeed Cache ist äußerst populär. Es kommt auf mehr als sechs Millionen aktive Installationen und dient der Website-Beschleunigung und -Optimierung. Aufgrund einer gravierenden Schwachstelle in dem Plug-in – die Dritte innerhalb kurzer Zeit – sind die damit ausgestatteten Webseiten gefährdet.

Anzeige

Ein Beitrag beim IT-Sicherheitsunternehmen Patchstack erörtert die Sicherheitslücke. Demnach handelt es sich um eine sogenannte Stored Cross Site Scripting-Lücke, durch die nicht authentifizierte Angreifer sensible Informationen abgreifen und ihre Rechte auf der Wordpress-Website ausweiten können – mit einer einzigen HTTP-Anfrage. In der Schwachstellenzusammenfassung schreiben die IT-Forscher, dass Angreifer dadurch bösartige Skripte wie Redirectors, Werbung und anderen HTML-Code einschleusen können, die beim Besuch von Gästen auf der Seite ausgeführt werden (CVE-2024-47374, CVSS 7.1, Risiko "hoch").

Die Schwachstelle betrifft Litespeed Cache bis einschließlich Version 6.5.0.2. Seit einer Woche ist die aktualisierte Fassung Litespeed Cache 6.5.1 verfügbar, die die Sicherheitslücke abdichtet. Diese oder neuere Versionen sollten Admins von Wordpress-Instanzen mit dem verwundbaren Plug-in umgehend installieren. Die IT-Analysten von Patchstack halten es für sehr wahrscheinlich, dass die Lücke in Kürze in freier Wildbahn missbraucht wird.

Das ist seit Ende August bereits die dritte riskante Sicherheitslücke in Litespeed Cache, die die zahlreichen damit ausgestatteten Wordpress-Instanzen in Gefahr bringt. Im August erlaubte eine als kritisch eingestufte Lücke Angreifern aus dem Netz, ohne vorherige Authentifizierung einen administrativen Nutzer zu registrieren und die Wordpress-Instanz dann vollständig zu übernehmen (CVE-2024-28000, CVSS 9.8, Risiko kritisch). Im September entdeckten Patchstack-Forscher, dass das Debug-Feature alle HTTP-Anfragen mit den Session-Cookies protokolliert. Angreifer konnten hier ansetzen, um sich Admin-Rechte zu verschaffen (CVE-2024-44000).

Ivanti warnt erneut vor angegriffenen Sicherheitslücken in der Cloud Services Appliance (CSA). Kriminelle nutzen eine ältere Lücke in Kombination mit neuen Schwachstellen, um CSA-Systeme zu kompromittieren. In mehreren weiteren Produkten schließt Ivanti zudem Schwachstellen, die teils als kritisches Risiko eingestuft werden.

Anzeige

Ein Blog-Beitrag von Ivanti fasst die Oktober-Updates zusammen. Demnach greifen bösartige Akteure Sicherheitslücken in Ivantis CSA 4.6 an, das im September die letzten Sicherheitsupdates erhalten hat und am End-of-Life angekommen ist. Es handelt sich um eine Befehlsschmuggel-Lücke (CVE-2024-9380, CVSS 7.2, Risiko "hoch"), eine Path-Traversal-Schwachstelle (CVE-2024-9381, CVSS 7.2, hoch) und schließlich eine SQL-Injection-Lücke (CVE-2024-9379, CVSS 6.5, mittel), die von den Kriminellen in Kombination mit der alten Schwachstelle CVE-2024-8963 (Risiko "kritisch") für die Attacken genutzt werde.

Die Schwachstellen finden sich zwar bis in die CSA-Version 5.0.1, allerdings seien bislang lediglich Angriffe auf die nicht mehr unterstützte CSA-Version 4.6 beobachtet worden. Laut Sicherheitsmitteilung schließt CSA 5.0.2 die Lücken.

Eine kritische Sicherheitslücke findet sich in der VPN- und Network-Access-Control-Software Ivanti Connect Secure und Policy Secure. Angemeldete Nutzer können darin aus der Ferne Code einschleusen und ausführen (CVE-2024-37404, CVSS 9.1, kritisch). Die Versionen Ivanti Policy Secure 22.7R1.1 sowie Ivanti Connect Secure 9.1R18.9 (erscheint am 15.10.), 22.7R2.1 und 22.7R2.2 bügeln die Fehler aus.

Die diesjährige Samsung-Entwicklerkonferenz SDC24 brachte im Bereich Smartphones zwar wenig Neuigkeiten, überraschte dafür jedoch mit einer erfreulichen Ankündigung aus dem Bereich IT-Sicherheit. Offenbar will Samsung neue Geräte aus seiner Smarthome-Riege mit Passkey-Unterstützung ausstatten.

Anzeige

Samsungs betriebssystemeigene Schlüsselverwaltung Pass auf den Smartphones des Herstellers kann schon seit einiger Zeit Passkeys speichern und zwischen Geräten synchronisieren. Jetzt soll die Funktion auch auf die neuen Smart-TVs und Smarthome-Geräte des Herstellers kommen. Samsung schreibt in der Pressemitteilung zum Event, dass Passkeys nun auch Einzug in das Smart-TV-Betriebssystem Tizen halten werden. Außerdem sollen smarte Kühlschränke mit AI Family Hub sowie andere smarte Haushaltsgeräte mit AI Home Passkey-Unterstützung bekommen. Zu erwarten ist die Neuerung bei Modellen, die im nächsten Jahr auf den Markt kommen sollen.

Passkeys sind eine Initiative der Fido-Alliance, ein Branchenverband, dem neben großen Tech-Unternehmen wie Apple, Google oder Microsoft unter anderem auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) angehören. Das passwortlose Anmeldeverfahren verbindet sichere Public-Key-Kryptografie mit einem biometrischen Faktor, etwa einem Gesichts- oder Fingerabdruckscan, der anstelle eines Passworts zum Einloggen bei einem Internetdienst verwendet wird. Alternativ kann zum Einloggen auch eine Geräte-PIN oder ein Gerätepasswort zum Einsatz kommen.

Passkeys über Smartphones, Tablets und Rechner hinaus auf vernetzten Geräten nutzbar zu machen, ist ein sinnvoller nächster Schritt. Das passwortlose Anmeldeverfahren ist nicht nur Phishing-sicher, sondern auch deutlich bequemer als das Einloggen per Passwort. Trotzdem haben laut einer Umfrage des BSI längst nicht alle Internetnutzer begonnen, ihre Logins auf Passkeys umzustellen. Die Behörde hat jüngst eine Empfehlung ausgesprochen, das Verfahren zu nutzen, soweit bereits verfügbar. Eine Community-geführte Liste aller Webdienste, die die passwortlose Anmeldung bereits anbieten, findet sich unter passkeys.directory.