Comretix Blog

In der umfangreichen Virenschutz- und Backup-Software Acronis Cyber Protect hat der Hersteller mehrere, teils höchst kritische Sicherheitslücken entdeckt. Diese stopfen die Entwickler mit aktualisierter Software.

Angreifer können durch die Schwachstellen vertrauliche Daten abgreifen und manipulieren oder ihre Rechte im System ausweiten. Drei Schwachstellen stellen den schlimmstmöglichen Fall dar und erreichen die Höchstwertung CVSS 10 von 10 möglichen "Punkten". Details nennt Acronis keine, lediglich eine knappe Beschreibung. Einmal können Angreifer sensible Daten auslesen und verändern aufgrund unzureichender Authentifizierung (CVE-2025-30411 / noch kein EUVD, CVSS 10.0, Risiko "kritisch"). Denselben Effekt hat eine fehlende Autorisierung (CVE-2025-30416 / noch kein EUVD, CVSS 10.0, Risiko "kritisch") sowie eine weitere unzureichende Authentifizierung (CVE-2025-30412 / noch kein EUVD, CVSS 10.0, Risiko "kritisch"). Die Schwachstellen betreffen Acronis Cyber Protect 16 für Linux und Windows vor der Build-Nummer 39938.

Aufgrund einer weiteren fehlenden Authentifizierung gelingen unbefugte Zugriffe und potenzielle Manipulationen von sensiblen Daten neben der älteren vorgenannten Acronis-Cyber-Protect-16-Builds auch unter Linux und zudem im Acronis Cyber Protect Cloud Agent für Linux, macOS und Windows vor Build 39870 (CVE-2025-30410 / kein EUVD, CVSS 9.8, Risiko "kritisch"). In Acronis Cyber Protect 16 für Windows vor dem Build 39938 klafft zudem eine Sicherheitslücke, die Angreifern aufgrund von unsicheren Ordner-Berechtigungen ermöglicht, ihre Rechte im System auszuweiten (CVE-2025-48961 / EUVD-2025-16875, CVSS 7.3, Risiko "hoch").

Acronis Cyber Protect 16 für Linux, macOS und Windows nutzt vor Build 39938 außerdem einen schwachen Server Key für die TLS-Verschlüsselung (CVE-2025-48960 / EUVD-2025-16874, CVSS 5.9, Risiko "mittel"). Außer unter macOS können Angreifer darin zudem eine Server-Side-Request-Forgery (SSRF) zum Ausspähen sensibler Informationen missbrauchen (CVE-2025-48962 / EUVD-2025-16876, CVSS 4.3, Risiko "mittel").

Updates stehen seit etwa einem Monat in Form von Acronis Cyber Protect 16 Update 4 für Linux, macOS und Windows sowie Acronis Cyber Protect Cloud Agent Update C25.03 Hotfix 2 bereit. Wer Acronis einsetzt, sollte die Aktualisierungen zügig installieren, um die Angriffsfläche zu minimieren.

Eine kriminelle Gruppe, die Googles Threat Intelligence Group (GTIG) UNC6040 nennt – was nichts mit der SMD-Bauform mit 6 mal 4 mm Größe zu tun hat – und deren Aktivitäten die IT-Forscher beobachten, greift Salesforce-Nutzerinnen und -Nutzer an, um Daten zu stehlen und die betroffenen Unternehmen damit zu erpressen. Google beschreibt die Gruppierung dabei als opportunistisch und finanziell motiviert, mit Spezialisierung auf Vishing (Voice Phishing).

In der Analyse des GTIG schreiben die Autoren, dass UNC6040 Kampagnen speziell darauf auslegt, die Salesforce-Instanzen von Organisationen zu kompromittieren, um im großen Stil Daten abzugreifen und im Anschluss die Organisation zu erpressen. In den vergangenen Monaten sei die Gruppe mehrfach damit erfolgreich gewesen. Die Mitglieder gaben sich dabei bei Telefonanrufen als IT-Support-Personal aus und überzeugten Mitarbeiter mittels Social Engineering, ihnen Zugriff zu gewähren oder sensible Zugangsdaten zu überlassen – in allen beobachteten Fällen haben die Angreifer die Endnutzer manipuliert und keine etwaige Sicherheitslücke in Salesforce missbraucht. Im Visier stehen meist Mitarbeiter englischsprachiger Zweige von multinationalen Unternehmen.

Die Angreifer verleiten die Opfer dazu, eine bösartige Connected-App für das Salesforce-Portal ihres Unternehmens zu autorisieren. Bei einem Vishing-Anruf leiten die Täter die Opfer zu der Salesforce Connected-App-Setup-Seite, um eine Version der Data-Loader-App mit vom Original abweichenden Namen oder Branding zu legitimieren. Bei dieser Anwendung handelt es sich häufig um eine modifizierte Variante des Data Loader von Salesforce, die nicht von Salesforce autorisiert wurde. Das gibt der UNC6040-Gruppe schließlich umfassende Möglichkeiten, sensible Informationen direkt aus der kompromittierten Salesforce-Umgebung des Opfers zuzugreifen, abzufragen und auszuleiten.

Die Angreifer zeigen sich oftmals von ihrer geduldigen Seite. Teils vergingen Monate nach der Kompromittierung, bis der unbefugte Datenabzug erfolgte. Google schließt daraus, dass UNC6040 sich mit weiteren Bedrohungsakteuren zusammengeschlossen hat, um die erbeuteten Daten zu monetarisieren.

Die kriminelle Vereinigung nutzt Infrastruktur zum Zugriff auf Salesforce-Apps, die auch ein Okta-Phishing-Panel hostet. Bei den Anrufen haben die Täter die Opfer dazu verleitet, dieses mit ihrem Smartphone oder Arbeits-PC zu besuchen. Dabei haben sie direkt die Zugangsdaten und Multifaktor-Authentifizierungscodes der Opfer abgefragt, um sich anzumelden und die Salesforce-Data-Loader-App hinzuzufügen und damit die Daten zu exfiltrieren.

Broadcom warnt vor teils hochriskanten Sicherheitslücken in der Netzwerkvirtualisierungs- und Sicherheitsplattform VMware NSX. Angreifer können unter anderem Schadcode einschleusen und ausführen. IT-Verantwortliche sollten zügig auf die fehlerbereinigten Versionen aktualisieren.

In einer Sicherheitsmitteilung schreibt Broadcom, dass die Schwachstellen im Privaten an das Unternehmen gemeldet wurden. Aktive Angriffe darauf sind demnach noch nicht bekannt.

Am gravierendsten gilt dem Hersteller eine Stored Cross-Site-Scripting-Lücke (XSS) in der Manager-UI. Die kann aufgrund unzureichender Prüfung von übergebenen Daten auftreten. Angreifer mit Berechtigungen, Netzwerkeinstellungen zu erstellen oder zu modifizieren, können dadurch bösartigen Code einschleusen, der bei der Anzeige der Netzwerkeinstellungen zur Ausführung kommt (CVE-2025-22243 / EUVD-2025-16910, CVSS 7.5, Risiko "hoch").

In der Gateway Firewall können Angreifer ebenfalls eine Stored Cross-Site-Scripting-Lücke missbrauchen. Wenn sie Rechte besitzen, die Antwort-Seite für URL-Filterung zu erstellen oder zu verändern, können sie bösartigen Code einschleusen, der bei versuchtem Zugriff auf eine gefilterte Webseite ausgeführt wird (CVE-2025-22244 / EUVD-2025-16909, CVSS 6.9, Risiko "mittel"). Auch im Router-Port führt unzureichende Filterung von Eingaben dazu, dass Angreifer eine Stored Cross-Site-Scripting-Schwachstelle zum Einschleusen von Schadcode missbrauchen können, sofern sie Rechte zum Erstellen oder Verändern von Router-Ports haben. Der Code wird ausgeführt, sofern jemand versucht, auf den Router-Port zuzugreifen (CVE-2025-22245 / EUVD-2025-16908, CVSS 5.9, Risiko "mittel").

Die Schwachstellen korrigiert Broadcom in VMware NSX 4.2.2.1, 4.2.1.4 und 4.1.2.6 sowie in VMware Cloud Foundation 4.2.2.1 und 4.1.2.6. Für die verwundbaren VMware Telco Cloud Platform und Infrastructure nennt Broadcom Aktualisierungsmöglichkeiten in einem eigenen Knowledgebase-Artikel.

Apple ist mit seinem Passwort-Monitoring-Dienst von Java zu Swift und Vapor gewechselt und verkündet nun einen Performancegewinn von vierzig Prozent. Zusätzlich hat sich laut Apple die Skalierbarkeit, Sicherheit und Verfügbarkeit erhöht, die Zahl der Codezeilen hingegen um 85 Prozent verringert. Das unter Apache-Lizenz stehende Swift wurde 2014 von Apple selbst erfunden und seitdem weiterentwickelt.

Der Monitoring-Dienst gehört zu Apples Passwortmanager-App und prüft, ob Passwörter geleakt wurden, also zum Beispiel irgendwo im Darknet auftauchen (ähnlich wie Have I been Pwnd). Um die Sicherheit der anvertrauten Passwörter zu schützen, betreibt das Monitoring einen hohen Aufwand an Verschlüsselung, soll aber gleichzeitig schnell reagieren.

Swift verbraucht weniger Hardware-Ressourcen und verbessert die Performance.

Diesen Anforderungen wurde Java dem Apple-Team nicht mehr gerecht: "Der Ansatz zur Speicherverwaltung bei Java entspricht nicht mehr unseren wachsenden Anforderungen und Zielen für die Effizienz." Auch der verbesserte G1 Garbage Collector der JVM brachte dem Team nicht die gewünschte Performance. Probleme bereiteten insbesondere lange Pausen der Collectors unter hoher Last und die Schwierigkeiten des Finetunings für verschiedene Workloads. Garbage Collectors stehen wegen Engpässen immer wieder in der Kritik.

Auch beim schnellen Skalieren des Diensts unter wechselnder, regional bedingter Last sah das Apple-Team Mängel bei Java.

Der Streit über die Frage, wer den Chefankläger des Internationalen Strafgerichtshofs (IStGH), Karim Khan, von seinem Microsoft-basierten E-Mail-Konto abgekoppelt hat, geht weiter. Microsofts Präsident Brad Smith betonte am Mittwoch vor Journalisten, Microsoft habe seine Dienste für das Den Haager Gericht weder beendet noch ausgesetzt. Wörtlich sagte der 66-Jährige Berichten zufolge: Die von Microsoft ergriffenen Maßnahmen hätten "in keiner Weise die Einstellung der Dienste für den IStGH" umfasst. Zuvor hatte die Nachrichtenagentur AP gemeldet, Microsoft habe Khans E-Mail-Account aufgrund von Sanktionen gesperrt, die US-Präsident Donald Trump gegen den Gerichtshof verhängte.

Ein Microsoft-Sprecher erläuterte gegenüber heise online schon damals vage: "Seit Februar stehen wir während des gesamten Vorgangs, der zum Ausschluss des sanktionierten Beamten von den Microsoft-Diensten führte, mit dem IStGH in Kontakt." Der Konzern habe seine Services für das Gericht zu jeder Zeit aufrechterhalten. Auch Smith wollte sich nun aber nicht zu den genauen Umständen äußern, die zur Abschaltung von Khans E-Mail-Zugang führten. Der IStGH lehnte eine Stellungnahme ebenfalls ab. Laut der WirtschaftsWoche will Microsoft einen Weg aus der "Trump-Falle" gefunden haben. Der US-Konzern hoffe, Sanktionen des Republikaners erfüllen zu können, ohne Kundenkonten abzuschalten. Anwälte seien zu der Ansicht gelangt, dass Microsoft lediglich eine technische Plattform bereitstelle. Die Kunden müssten so selbst entscheiden, ob sie ihren Mitarbeitern Zugriff auf die Dienste gewährten. Microsoft werde in Szenarien wie dem IStGH-Fall nicht mehr eingreifen.

Die Open Source Business Alliance (OSBA) bezeichnete das Vorgehen von Microsoft "in diesem Kontext und dieser Auswirkung" im Mai als beispiellos. Die von den USA angeordneten und Microsoft mit umgesetzten Sanktionen gegen den Strafgerichtshof müssten "ein Weckruf für alle sein, die für die sichere Verfügbarkeit staatlicher und privater IT- und Kommunikationsinfrastrukturen verantwortlich sind". Auch Digitalstaatssekretär Thomas Jarzombek (CDU) unterstrich mit Blick auf den Fall, dass Deutschland seine Anstrengungen für digitale Souveränität erhöhen müsse. Bart Groothuis, ein niederländischer liberaler EU-Abgeordneter, drängt aus dem gleichen Grund auf die Schaffung einer unabhängigen europäischen Cloud. Er hob jüngst hervor: "Die Welt hat sich verändert."

Smith kündigte parallel in Berlin den Start eines "europäischen Sicherheitsprogramms" an. Damit werden "wir unser langjähriges Engagement zur Verteidigung von Europas Cybersicherheit ausweiten", erklärte der Manager. Microsoft setze damit von ihm unlängst in Brüssel vorgestellte "digitale Zusicherungen" um.

Konkret versprach Smith einen verstärkten Austausch von KI-basierten Bedrohungsinformationen mit europäischen Regierungen und zusätzliche Investitionen zur Stärkung von Cybersicherheitskapazitäten und Resilienz. Das Unternehmen will ferner Partnerschaften zur Abwehr von Cyberangriffen und zum Zerschlagen cyberkrimineller Netzwerke ausbauen.

Angreifer können an einer Schwachstelle in Dells NAS-Betriebssystem PowerScale OneFS ansetzen und Dateien löschen. Außerdem macht eine Lücke im Bluetooth-Treiber unzählige Dell-PCs angreifbar. Sicherheitsupdates stehen zum Download. Admins sollten sie zeitnah installieren, um ihre Computer zu schützen.

Die Lücke (CVE-2025-53298) im NAS-System ist mit dem Bedrohungsgrad "kritisch" eingestuft. Weil die Authentifizierung beim NFS-Export fehlt, können Angreifer aus der Ferne ohne Anmeldung die Schwachstelle ausnutzen, erläutern die Entwickler in einer Warnmeldung. Davon soll PowerScale OneFS 9.5.0.0 bis einschließlich 9.10.0.1 betroffen sein.

Außerdem haben die Entwickler noch weitere Lücken (etwa CVE-2025-32753 "mittel") in PowerScale OneFS geschlossen. An diesen Stellen können Angreifer unter anderem für DoS-Attacken ansetzen. Dagegen sind die Ausgaben 9.5.1.3, 9.7.1.8 und 9.10.1.2 gerüstet.

Unzählige Dell-Computer von etwa der Alienware- und Inspiron-Serie sind einem Beitrag zufolge über eine Sicherheitslücke (CVE-2024-11857 "hoch") im Realtek-Bluetooth-Treiber attackierbar. Die vollständige Liste der betroffenen PC-Modelle findet sich im verlinkten Beitrag. Für eine erfolgreiche Attacke müssen Angreifer aber lokal authentifiziert sein. Ist das gegeben, können sie über eine symbolische Verknüpfung Dateien löschen.

Dagegen sind die Treiberversionen 2024.10.143.0 und 6001.15.156.200 geschützt. Bislang sind keine Berichte zu laufenden Attacken bekannt. Unklar bleibt bislang, woran Admins bereits erfolgreich attackierte Systeme erkennen können.

Der Netzwerkausrüster Cisco warnt vor möglichen Attacken auf Identity Services Engine (ISE) und Customer Collaboration Platform (CCP). Weiterhin gibt es noch Sicherheitsupdates für weitere Produkte.

Wie aus einer Warnmeldung hervorgeht, ist ISE nur im Kontext von Amazon Web Services, Microsoft Azure und Oracle Cloud Infrastructure angreifbar, wenn der primäre Admin Node in der Cloud bereitgestellt wird. On-premises-Instanzen sind nicht verwundbar.

Sind diese Voraussetzungen erfüllt, sollen entfernte Angreifer an der "kritischen" Lücke (CVE-2025-20286) ansetzen können. Das Sicherheitsproblem besteht darin, dass in dieser Konfiguration Zugangsdaten nicht verlässlich randomisiert erzeugt werden, sodass identische Log-in-Daten vergeben werden. Können Angreifer diese Daten extrahieren, haben sie im Anschluss Zugriff auf verschiedene Instanzen. Dann können sie unter anderem Konfigurationsdaten von Systemen modifizieren und vertrauliche Daten einsehen.

Die Entwickler versichern, das Problem in den ISE-Ausgaben 3.3P8 und 3.4P3 gelöst zu haben. Admins, die noch ISE 3.1 oder 3.2 nutzen, müssen auf eine höhere Version upgraden. Das Sicherheitsupdate für 3.5 soll im August 2025 folgen.

Weil Exploitcode in Umlauf ist, können Attacken bevorstehen. Das gilt auch für eine Schwachstelle in CCP. Hier können Angreifer einem Beitrag zufolge mit präparierten HTTP-Anfragen an der Schwachstelle (CVE-2025-20129 "mittel") ansetzen und so Daten leaken.

Der russisch-niederländische Webkonzern Yandex und der amerikanische Social-Media-Platzhirsch Meta bedienten sich eines schmutzigen Tricks, um Werbeprofile zu erstellen und ihre Kunden auszuspionieren. Dazu bauten sie heimlich zwischen ihren Apps und dem Browser auf Android-Geräten eine Datenverbindung auf. So konnten sie Nutzer eindeutig identifizieren, mutmaßlich um ihre Daten an Werbetreibende zu verhökern.

Ein Team von Wissenschaftlern aus den Niederlanden und Spanien fand heraus, mit welchem Trick die Konzerne ihre Nutzer ausspionierten. Und das teilweise seit Jahren: Yandex bedient sich des Hacks seit 2017, Meta immerhin seit September 2024. Die Konzerne machen sich verschiedene technische Möglichkeiten der Android-Browser und -Apps zunutze, um vom Betriebssystem eingezogene Kommunikationsbarrieren zu umgehen, vor allem über lokale "Listening Ports".

Diese sind für die Kommunikation zwischen einem Client (wie einem Browser) und einem Server (zum Beispiel dem Meta-Webserver) gedacht, können aber auch von innerhalb einer App zum Lauschen geöffnet werden. Dazu benötigt diese keine besonderen Privilegien oder Einwilligung des Nutzers – so kann eine Meta-App (Facebook oder Instagram sind betroffen) auf der Adresse localhost:12387 auf eingehende Verbindungen lauschen. Und das auch, wenn der Nutzer die App gerade nicht nutzt – sie läuft und lauscht im Hintergrund weiter.

So schleust Meta Daten zwischen Android-App und Browser hin und her.

(Bild: A. Girish, G. Acar, et al., "Local Mess")

Connectwise hat derzeit nicht nur mit Angriffen auf Schwachstellen in seiner ScreenConnect-Fernwartungssoftware zu kämpfen. Das Unternehmen hat mitgeteilt, dass offenbar staatlich unterstützte Kriminelle in die Netze des Anbieters eingebrochen sind.

Laut der Sicherheitsmitteilung von Connectwise fand der IT-Vorfall bereits Ende Mai statt. "ConnectWise hat vor kurzem verdächtige Aktivitäten in unserer Umgebung entdeckt, von denen wir glauben, dass sie mit einem fortschrittlichen staatlichen Akteur in Verbindung stehen und die eine sehr kleine Anzahl von ScreenConnect-Kunden betreffen", schreibt das Unternehmen. Der Vorfall datiert auf den 28. Mai zurück.

Für die Untersuchung habe Connectwise die IT-Forensikexperten von Googles Tochter Mandiant eingebunden. Alle betroffenen Kunden seien informiert worden, außerdem koordiniere das Unternehmen sich mit den Strafverfolgern. Connectwise hat mit Mandiants Unterstützung erweitertes Monitoring eingerichtet und Härtungsmaßnahmen über die gesamte IT-Umgebung ergriffen.

Weitere verdächtige Aktivitäten habe Connectwise in etwaigen Kunden-Instanzen demnach nicht mehr beobachtet. Nach dem Installieren des Sicherheitsupdates von Ende April für ScreenConnect auf die Cloud-Instanzen sei dort nichts Verdächtiges mehr aufgetreten. Gemeint ist offenbar eine Lücke, die Angreifern das Einschleusen von Schadcode aufgrund einer ViewState-Code-Injection-Schwachstelle ermöglicht (CVE-2025-3935 / EUVD-2025-12502, CVSS 8.1, Risiko "hoch").

Details zu den Angriffen und ihrer Auswirkungen sind eher dünn gesät: Bisherige Untersuchungsergebnisse deuten demnach darauf, dass der Vorfall auf ScreenConnect, und dort offenbar die Cloud-Instanzen, beschränkt war. Ob der Einbruch durch die genannte Sicherheitslücke erfolgte, kann Connectwise derzeit noch nicht sagen. Daher empfiehlt das Unternehmen, bei OnPremises-Installationen die Sicherheitsupdates aus dem April anzuwenden.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt aktuell vor laufenden Angriffen auf mehrere Sicherheitslücken in Connectwise ScreenConnect, Craft CMS und Asus-Router. Die Hersteller stellen Updates zum Schließen der Sicherheitslecks bereit – Admins sollten sie zügig installieren.

In der Warnung nennt die CISA lediglich die Schwachstellen und die Produkte, auf die Angriffe in freier Wildbahn beobachtet wurden. In der Fernwartungssoftware Connectwise ScreenConnect haben die Entwickler Ende April mit Updates eine als hochriskant eingestufte Schwachstelle ausgebessert. Bei der Sicherheitslücke handelt es sich um ViewState-Code-Injection, die Angreifern das Einschleusen und Ausführen von Schadcode ermöglicht (CVE-2025-3935 / EUVD-2025-12502, CVSS 8.1, Risiko "hoch"). Ein Update auf ScreenConnect 25.2.4 oder neuer bessert den sicherheitsrelevanten Fehler aus, auf den die CISA nun Angriffe im Netz beobachtet.

In Asus-Routern der Modellreihe GT-AC2900 attackieren Kriminelle eine Sicherheitslücke, für die der Hersteller im Jahr 2021 Firmware-Aktualisierungen bereitgestellt hat (CVE-2021-32030 / EUVD-2021-18896, CVSS 9.8, Risiko "kritisch"). Auch in Asus-RT-AX55-Routern können Angreifer unbefugt Befehle einschleusen, wenn das Firmware-Update aus 2023 oder neuere nicht angewendet wurden – und machen das nun auch (CVE-2023-39780 / EUVD-2023-43480, CVSS 8.8, Risiko "hoch").

Außerdem greifen Online-Kriminelle Schwachstellen in CraftCMS an. Angreifer können durch die eine Sicherheitslücke Schadcode aus dem Netz einschleusen und ausführen (CVE-2024-56145 / EUVD-2024-3545, CVSS 9.3, Risiko "kritisch") und eine zweite, die im Zusammenspiel mit weiteren Schwachstellen das Ausführen von untergejubeltem Code ermöglicht (CVE-2025-35939 / EUVD-2025-13951, CVSS 5.3, Risiko "mittel"). Craft CMS 5.7.5 und 4.15.3 sowie neuere Fassungen bessern die Schwachstellen aus.

Die CISA nennt keine weiteren Details zu den beobachteten Angriffen. Art und Umfang ist dadurch unklar, auch Angaben zur Erkennung (erfolgreicher) Attacken fehlen. IT-Verantwortliche mit betroffenen Produkten sollten die verfügbaren Aktualisierungen jedoch so schnell wie möglich herunterladen und installieren.

Angreifer können an mehreren Softwareschwachstellen in verschiedenen Androidversionen ansetzen, um Geräte zu kompromittieren. Qualcomm berichtet von Attacken auf Geräte mit bestimmten Prozessoren. Der Patchstand ist in diesem Fall aber unklar.

In einer Warnmeldung stufen die Android-Entwickler eine Sicherheitslücke (CVE-2025-26443 "hoch") in einer nicht näher beschriebenen Systemkomponente als am gefährlichsten ein. Davon sind Smartphones und Tablets mit Android 13, 14 und 15 betroffen.

An dieser Stelle sollen Angreifer ansetzen könne, um sich höhere Nutzerrechte zu verschaffen. Das klappt der knappen Beschreibung aber nur, wenn Opfer mitspielen. Wie eine solche Attacke ablaufen könnte, ist bislang unklar.

Außerdem können im Kontext von weiteren Systemschwachstellen (etwa CVE-2025-26441 "hoch") Daten leaken. Über Lücken im Framework können Angreifer DoS-Zustände erzeugen (zum Beispiel CVE-2025-26432 "hoch").

Überdies können noch Lücken in Komponenten von Drittanbietern wie Arm und Qualcomm als Einfallstor für Angreifer dienen. Qualcomm warnt derzeit davor, dass Angreifer zwei Schwachstellen (CVE-2025-21479 "hoch", CVE-2025-21480 "hoch") ausnutzen. In welchem Umfang die Attacken ablaufen, ist zurzeit nicht bekannt. Die Lücken betreffen die Adreno-GPU-Treiber bestimmter Prozessoren wie Snapdragon 685. Damit rechnen unter anderem diverse Xiaomi-Smartphones wie das Redmi Note 13.

In der WebPKI tut sich etwas – Sylvester und Christopher stürzen sich sofort darauf. Was der Verzicht auf "Client Authentication" für digitale Zertifikate bedeutet und ob Googles Browser Chrome hier seine Marktmacht ausnutzt, erörtern die beiden in der aktuellen Folge des Podcasts von heise security ausgiebig.

Doch auch anderen Themen widmen sich die beiden Sicherheitsexperten in der knapp zweistündigen Folge. So stellt Sylvester ein kleines Werkzeug namens oniux vor und illustriert an dessen Beispiel einige Fallstricke, die durch onion-URLs des Tor-Netzwerks und andere reservierte Domains (wie .local oder .invalid) entstehen können. Und Christopher erzählt vom Krieg gegen die Cyberkriminalität: In der Operation Endgame 2.0 haben Ermittler einige Kriminelle hochgehen lassen.

"Cyberkriminalität ist eine zunehmende Bedrohung für unsere Sicherheit", stellt Bundesinnenminister Alexander Dobrindt (CSU) am Vormittag in Berlin fest. Sie würde immer aggressiver – aber die Gegenstrategien auch immer professioneller. Mit der Digitalisierung ergäben sich immer mehr Tatgelegenheiten und Angriffsmöglichkeiten etwa auf Kritische Infrastrukturen. Mit der KI-Nutzung beim Phishing entstünden durch die vermeintliche Authentizität neue Probleme, so Dobrindt. Das genaue Ausmaß dieses neuen Problems sei aber noch nicht absehbar.

Bei Ransomware-Attacken sei hingegen ein Rückgang zu verzeichnen, was an gestärkten Gegenmaßnahmen liege, berichtet der Bundesinnenminister. Etwa die Operation Endgame 2.0 habe hier Wirkung entfaltet, weil dabei 300 Server, davon 50 in Deutschland, dem Zugriff der Täter entzogen wurden.

Deutschland würde immer stärker von Kriminellen aus dem Ausland ins Visier genommen, meint Dobrindt. Die verfolgten inzwischen nicht mehr nur kriminelle Motive, "sondern sehr stark politische Ziele", sagte der Bundesinnenminister. Es gebe auch immer wieder kombinierte Zielstellungen: Bislang als gewinnorientierte Kriminelle eingeordnete Täterorganisationen würden für staatliche Ziele angeworben oder bezahlt. Das Ziel dabei sei, sagt der Bundesinnenminister, die politische Stabilität anzugreifen.

Dass insbesondere aus dem Ausland begangene Taten eine große Rolle spielen, daran besteht kaum ein Zweifel. Bislang aber gab es wenige verlässliche Daten dazu, wie groß das Problem ist. Erstmals weist das BKA-Lagebild nun einheitlich Ursprungsorte aus: in der polizeilichen Kriminalstatistik werden nun 131.000 begangene Cybercrime-Fälle im Inland und 201.877 aus dem Ausland aufgeführt. Das spiegele die Realität dennoch "nur bedingt wider", mahnt BKA-Präsident Holger Münch. Er rechne mit einem Dunkelfeld von etwa 90 Prozent.

Insbesondere bei aus dem Ausland begangenen Taten gibt es aus Ermittlersicht ein weiteres Problem. Die Täter hielten sich in Staaten auf, in denen die Strafverfolgung unmöglich sei, wie das Beispiel Endgame 2.0 zeige, sagt Münch: "Von den 20 mit Haftbefehlen Gesuchten halten sich alle Täter derzeit in Russland auf."

Europol hat am 27. Mai dieses Jahres einen Aktionstag gegen Ausbeutung und Radikalisierung Minderjähriger durch Online-Inhalte veranstaltet. Dabei wurden mehr als 2000 Links auf dschihadistische, rechtsextremistische und terroristische Propaganda gemeldet, die sich an Minderjährige wendeten.

Die Behörde warnt schon seit einiger Zeit, dass Netzwerke der organisierten Kriminalität zunehmend Minderjährige rekrutieren. Ende April hat Europol zudem eine Taskforce eingesetzt, die Violence-as-a-service ("Gewalt als Dienstleistung") und die Rekrutierung junger Täter durch organisierte Kriminalität bekämpfen soll. "Der Schutz von Kindern vor der Rekrutierung und Ausbeutung durch kriminelle Netzwerke ist eine der wichtigsten Prioritäten", betont Europol in der Mitteilung zum Aktionstag.

Den Strafverfolgern zufolge haben die Terrororganisationen demnach neue Taktiken zur Rekrutierung von Anhängern entwickelt. Sie passen Botschaften individuell an und investierten in neue Technologien und Plattformen, um Minderjährige zu erreichen und zu manipulieren. Der Einsatz von KI, insbesondere zur Erstellung von Bildern, Texten und Videos, soll ein jüngeres Publikum ansprechen. Die Propagandisten investierten in sorgsam gestylte Inhalte, Kurzvideos und Memes, "um Minderjährige und Familien anzusprechen, die anfällig für extremistische Manipulation sein könnten". Außerdem investierten sie in Inhalte, die "spielerische Elemente mit terroristischem Audio- und Video-Material" kombinierten.

Bei einer weiteren Art von zielgerichteten Inhalten glorifizieren die Drahtzieher Minderjährige, die in terroristische Angriffe verwickelt sind. Die terroristische Propaganda richtet sich vorwiegend an männliche Jugendliche, die sie zum Beitreten in die Extremistengruppen animieren soll, indem sie Heldensagen bewirbt und sie als Krieger und Hoffnung der Gesellschaft darstellt. Weniger überraschend sprechen die Extremisten weibliche Minderjährige seltener an, wobei ihre Rolle sich im Wesentlichen auf das Aufziehen und Indoktrinieren künftiger Kämpfer "für die Sache" beschränkt.

Als weitere Manipulationstechnik nennt Europol die Opferrolle und Opfererzählung, teils bebildert mit verwundeten oder getöteten Kindern in Konfliktgebieten. Sie dient zwei Zielen: Sie führt zur emotionalen Identifizierung mit den Opfern, während sie gleichzeitig das Bedürfnis nach Vergeltung und weiterer Gewalt anheizt. An dem Aktionstag haben zahlreiche Länder teilgenommen: Albanien, Belgien, Bosnien-Herzegowina, Dänemark, Deutschland, Irland, Malta, Österreich, Portugal, Serbien, Slowenien, Spanien, Tschechische Republik, die Ukraine und das Vereinigte Königreich.

Webadmins sollten ihre Roundcube-Webmail-Instanzen zeitnah auf den aktuellen Stand bringen. In aktuellen Ausgaben haben die Entwickler eine Sicherheitslücke geschlossen, über die Schadcode auf Systeme gelangen kann.

Wie aus einem Beitrag hervorgeht, haben sie die "kritische" Sicherheitslücke (CVE-2025-49113) in den Ausgaben 1.5.10 und 1.6.11 geschlossen. Alle vorigen Versionen sollen verwundbar sein.

Trotz der kritischen Einstufung müssen Angreifer authentifiziert sein, um an der Schwachstelle ansetzen zu können. Weil der from-Parameter in URLs unter program/actions/settings/upload.php nicht ausreichend überprüft wird, können Angreifer eigenen Code ausführen. Es ist davon auszugehen, dass Instanzen nach einer erfolgreichen Attacken vollständig kompromittiert sind.

Auch wenn es noch keine Hinweise auf laufende Attacken gibt, sollten Admins nicht zu lange zögern und das Sicherheitsupdate zeitnah installieren. Dazu raten auch die Entwickler. Den Entdeckern der Schwachstelle von FearsOff zufolge existiert sie seit zehn Jahren und betrifft über 53 Millionen Hosts.

Dass die US-Regierung an der Cybersicherheit herumschraubt, ist seit Längerem klar. Auch Stellenstreichungen wurden bekannt. Nun legte das Heimatschutzministerium (DHS) sein Budget für das kommende Jahr vor: Fast eine halbe Milliarde Dollar soll die Cybersicherheitsbehörde CISA im Jahr 2026 einsparen.

Die Einsparungen sind spürbar: Der Etat der CISA sinkt von 2,8 auf knapp 2,4 Milliarden Dollar, somit um etwa 17 Prozent. Das sieht der Etatüberblick vor, den die Behörde dem US-Kongress präsentierte. Allein bei den Personalkosten will man über 95 Millionen US-Dollar einsparen – unter anderem durch über 1000 Stellenstreichungen. Auch externe Berater dürften künftig weniger Aufträge bei der CISA erhalten: Der Etatposten "Beratungs- und Unterstützungsdienstleistungen" sinkt um 289 Millionen auf immerhin noch 1,3 Milliarden US-Dollar.

In der Cybersicherheit streicht die CISA 186 Stellen und spart über 216 Millionen US-Dollar ein, im Bereich Infrastruktursicherheit zusätzliche zehn Stellen. Dieser Bereich erhält jedoch im Jahr 2026 eine Etat-Aufstockung um 143 Millionen Dollar und wird damit finanziell gestärkt. Das hatte Heimatschutzministerin Noem angeordnet: Man möge sich mehr auf den Schutz der Behördennetze und kritischer Infrastrukturen konzentrieren.

315 Stellen sollen durch ein freiwilliges Programm wegfallen, das CISA-Mitarbeitern mit Abfindungen, Frührente und anderen finanziellen Anreizen den Abschied versüßt. Der zweitgrößte Streichposten betrifft Stellen bei der Behörde, die gar nicht besetzt sind: Für über 300 offene Positionen fand die CISA bislang keine geeigneten Kandidaten, nun fallen sie weg. Die Behörde schreibt dazu, dies ermögliche effiziente Mittelverwendung ohne Auswirkungen auf den Betrieb.

Mehrere Abteilungen schließt die Behörde komplett. Dazu gehört das 14-köpfige Team für Wahlsicherheit – angesichts des persönlichen Kleinkriegs des US-Präsidenten gegen Ex-CISA-Chef Chris Krebs wenig überraschend. Dieser hatte Trumps Vorwürfe des Wahlbetrugs vehement bestritten und darüber seinen Job verloren. Auch eine Abteilung für Infrastruktursicherheit im Chemiesektor soll es 2026 nicht mehr geben, was jedoch bereits 2023 beschlossene Sache war und nun umgesetzt wird.

In vorinstallierten Apps insbesondere auf günstigen Smartphones von zwei Herstellern haben IT-Sicherheitsforscher Sicherheitslücken entdeckt. Die erlauben Angreifern, das Smartphone auf Werkseinstellungen zurückzusetzen, Apps mit PIN-Sperre zu belegen oder PIN-Codes unbefugt auszulesen.

Davor warnt das polnische CERT aktuell in einem Beitrag. In Smartphones der Anbieter Krüger&Matz und Ulefone sind ab Werk Apps vorinstalliert, die Sicherheitslücken aufreißen. Beide Anbieter haben sich auf billige Android-Smartphones spezialisiert, die etwa auf günstigere Prozessoren von Mediatek setzen. Krüger&Matz ist vorrangig in Polen und Rumänien aktiv.

Insgesamt drei Apps mit Schwachstellen hat das polnische CERT gemeldet. Die gravierendste findet sich in "com.pri.applock", die zur Verschlüsselung einer App mit einem PIN-Code oder biometrischen Daten dient. Jede App ohne angeforderte Rechte im Android-System kann mit System-Rechten bösartige Befehle einschleusen. Dazu ist lediglich Kenntnis der PIN nötig – die entweder von Smartphone-Nutzern angefragt oder mittels der nachfolgenden Sicherheitslücke ergattert werden können (CVE-2024-13917 / EUVD-2024-54616, CVSS 8.3, Risiko "hoch").

Durch die erreichbare Methode query() in "com.android.providers.settings.fingerprint.PriFpShareProvider" lässt sich ohne Anforderung etwaiger Android-Systemrechte der PIN-Code aus "com.pri.applock" ausschleusen (CVE-2024-13916 / EUVD-2024-54615, CVSS 6.9, Risiko "mittel"). Beide Fehler betreffen die App in Version Name 13, Version Code 33.

Schließlich bringen die Smartphones von Krüger&Matz und Ulefone die App "com.pri.factorytest" in Version Name 1.0, Version Code 1, mit. Die stellt den Dienst "com.pri.factorytest.emmc.FactoryResetService" bereit. Der ermöglicht jeder App, einen Werksreset des Geräts auszulösen (CVE-2024-13915 / EUVD-2025-16514, CVSS 6.9, Risiko "mittel").

Social Media eignet sich gut dazu, Menschen zu finden, die die gleichen Interessen, Hobbys und Erfahrungen haben wie wir selbst, zum Beispiel, wenn wir in eine neue Stadt oder ein neues Land ziehen. Gleichzeitig können wir über die sozialen Medien weiter am Leben unserer Freunde und Familie in unserer alten Heimat teilhaben. Doch leider birgt diese digitale Nähe auch viele Risiken. In Folge 2 der zweiten Staffel unseres Reportage-Podcasts Bits & Böses erzählt eine junge Frau davon, wie sich ihr Leben durch eine Begegnung im Internet für immer verändert hat.

Saras Geschichte (der Name wurde zum Schutz des Opfers von der Redaktion geändert) beginnt mit dem Wunsch, in Deutschland zu studieren. Sie kommt aus einem traditionell geprägten Land und sucht in der Corona-Zeit Anschluss über Social Media. Dabei lernt sie "Mario" kennen, einen Freund einer Freundin aus ihrer Heimat, der bereits in Deutschland lebt. Es entwickelt sich eine tiefe Freundschaft.

Mit der Zeit merkt Sara dass Mario mehr von ihr möchte als Freundschaft. Zunächst will sie ihm eine Chance geben, merkt jedoch schnell, dass sie seine Gefühle nicht erwidern kann. Doch als sie versucht, sich zu distanzieren, wird Mario eifersüchtig und kontrollierend. "Die ganze Zeit hat er versucht, mir zu zeigen, wie gefährlich Deutschland für eine Frau ist", erzählt Sara. Er redet ihr ein, dass sie allein nicht zurechtkommen wird. Als Sara neue Freunde findet und beginnt, das Studentenleben zu genießen, verschärft sich die Situation. Mario ruft sie ununterbrochen an und will wissen, wo sie ist. "Manchmal hatte ich 70 missed calls. Das war einfach krank", so Sara.

Die Situation eskaliert, als Sara für einige Wochen nach Hause fliegt und Mario bittet, sich um ihre Wohnung zu kümmern. In ihrer Abwesenheit durchsucht er ihre Sachen, findet intime Fotos und Videos von Sara mit ihrem Ex-Freund und nutzt diese für eine Cyber-Erpressung. Er gibt sich als Fremder aus und droht, die Aufnahmen an Saras Familie in ihrer Heimat zu schicken. "Er schrieb sowas wie: Du Schlampe verdienst nicht zu leben, ich mache Dein Leben kaputt", zitiert Sara die Drohungen. Er erstellt Fake-Accounts bei sozialen Medien mit ihren Fotos und Videos und kontaktiert sogar ihre Eltern direkt.

Wegen "beunruhigender Entwicklungen" bei der Benutzung von Kryptogeldautomaten hat eine für den Kampf gegen Finanzkriminalität verantwortliche australische Behörde strengere Regeln für die Geräte erlassen. Über solche speziellen Geldautomaten dürfen deshalb nun nur noch jeweils maximal 5000 Australische Dollar eingezahlt beziehungsweise abgehoben werden. Zudem müssen unter anderem Transaktionen besser überwacht und Betrugswarnungen ausgegeben werden. Einem Anbieter wurden die Geschäfte komplett untersagt. Das Australian Transaction Reports and Analysis Centre (AUSTRAC) erklärt, dass der Schritt eine Konsequenz auf Analysen einer Taskforce sei, die Betrug und illegale Aktivitäten im Zusammenhang mit den Geräten untersucht hat.

Wie die Behörde weiter erläutert, hat die Arbeitsgruppe Informationen von neun Anbietern ausgewertet, die Kryptogeldautomaten betreiben. Demnach werden diese besonders häufig von Menschen im Alter zwischen 60 und 70 Jahren benutzt. Eine große Zahl derart alter Menschen fällt Betrügereien zum Opfer. Viele werden dazu gebracht, die Geräte zu benutzen, berichtet ABC. Der Sender zitiert einen anonymen Tankstellenbetreiber, laut dem regelmäßig alte Menschen an den Geräten hantieren, die per Telefon Instruktionen bekommen. Insgesamt entfallen laut AUSTRAC 29 Prozent der an allen australischen Geräten ein- und ausgezahlten Summen auf 60- bis 70-Jährige, Menschen über 50 zahlen gar 72 Prozent der eingezahlten Gesamtsummen.

Die Zahl solcher Geldautomaten ist in Australien zwischen 2019 und 2024 von 23 auf 1200 regelrecht explodiert, schreibt AUSTRAC. Jährlich wurden darüber zuletzt fast 150.000 Transaktionen ausgeführt, bei 99 Prozent davon handelte es sich um Käufe von Kryptogeld – "vor allem Bitcoin, Tether und Ethereum". Insgesamt seien darüber etwa 275 Millionen australische Dollar bewegt worden. Für Menschen, die sich der Risiken von Kryptowährungen bewusst sind, könnten die Geräte eine bequeme Möglichkeit für Investitionen sein, erkennt AUSTRAC-Chef Brendan Thomas an, "aber ich möchte jeden warnen, der aufgefordert wird, diese Automaten zu benutzen, um Geld zu schicken". Denn ist es erst einmal weg, sei es für Behörden fast unmöglich, es zurückzuholen.

Kryptogeldautomaten gibt es auch in Deutschland, hierzulande hat der österreichische Anbieter Kurant etwa Geräte in Filialen von Saturn oder Media Markt aufgestellt. Wegen rechtlicher Vorgaben darf darüber bislang nur Kryptogeld gekauft werden, Auszahlungen sind nicht möglich. Die Daten aus Australien legen aber nahe, dass das Interesse daran ohnehin verschwindend gering wäre. Die Verbraucherzentrale Nordrhein-Westfalen weist darauf hin, dass die Einzahlungen nicht unkompliziert sind, so ist ein Konto bei dem Anbieter nötig. Außerdem würden dort Gebühren fällig, durch die die Bitcoin & Co. letztlich teurer sein könnten als bei "seriösen Plattformen" im Internet. Kaufen sollte man nur mit Geld, "auf das man im Zweifel verzichten kann!"

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)