Comretix Blog

Microsoft startet eine begrenzte öffentliche Vorschau auf "Windows Backup for Organizations". Damit können IT-Verwalter mit wenig Aufwand die Einstellungen von Windows-10- und Windows-11-PCs wegsichern und auf Geräten mit Microsoft Entra wiederherstellen lassen.

Insbesondere mit Hinblick auf das nahende Support-Ende von Windows 10 am 14. Oktober dieses Jahres soll das IT-Verantwortlichen den Umzug auf Windows-11-Maschinen erleichtern. Das kündigt Microsoft in einem Blog-Beitrag der Techcommunity an. "Unabhängig davon, ob Sie ein umfangreiches Upgrade planen oder einfach nur die Strategie für die Geräte-Kontinuität in Ihrem Unternehmen verbessern möchten, hilft diese Funktion dabei, den Migrationsaufwand zu reduzieren, die Nutzungsunterbrechungen zu minimieren und die Widerstandsfähigkeit der Geräte gegenüber Zwischenfällen zu stärken", schwärmen die Redmonder.

Microsoft hebt hervor, dass mit "Windows Backup for Organizations" weniger Support für Troubleshooting anfällt, da sich Geräte einfach zurücksetzen und mit den vorherigen Einstellungen wiederherstellen lassen. Die Software liefere einen nahtlosen Übergang von Windows 10 zu Windows 11 durch die gespeicherten Backups. Das führe zu einer minimierten Downtime, was die Produktivität der Nutzerinnen und Nutzer maximiere – die sich mit ihren bervorzugten Einstellungen umgehend auf wiederhergestellten Systemen zurechtfinden.

Es kommen jedoch nicht alle für die begrenzte öffentliche Vorschau infrage. Zur Nutzung der Backup-Funktionen müssen die Geräte mindestens "Microsoft Entra joined" oder "Microsoft Entra hybrid joined" sein und eine aktuell unterstützte Version von Windows 10 oder 11 im Einsatz haben. Für den vollen Funktionsumfang sei Windows 11 22H2 oder neuer Voraussetzung, Microsoft-Entra-joined-Geräte, ein aktiver Microsoft-INtune-Test-Tenant sowie Microsoft Intune Service-Administrator-Rechte. Schließlich müssen Interessierte am Microsoft Management Customer Connection Program (CCP) teilnehmen (Link zur Anmeldung).

Wer Interesse an dem Test von "Windows Backup for Organizations" hat, muss sich durch Ausfüllen eines Formulars dafür bewerben. Microsoft plant, die Funktion weiterzuentwickeln. Dafür sei Feedback von Testern wertvoll.

IBM Guardium Data Protection soll dafür sorgen, dass Geschäftsdaten, unter anderem bei Clouddiensten, sicher gespeichert sind. Nun können aber Angreifer an mehreren Sicherheitslücken ansetzen, um Systeme zu attackieren.

In einer Warnmeldung listen die Entwickler die Schwachstellen auf. Der Großteil der Lücken ist mit dem Bedrohungsgrad "mittel" eingestuft. In diesen Fällen können Angreifer unter anderem aus der Ferne auf eigentlich abgeschottete Informationen zugreifen (CVE-2025-25025, CVE-2025-25029).

Eine Schwachstelle (CVE-2025-24970) ist mit dem Bedrohungsgrad "hoch" versehen. Sie betrifft das Client-Server-Framework Netty. Weil der SslHandler eingehende Daten nicht ausreichend prüft, können Angreifer mit präparierten Anfragen an der Lücke ansetzen. Klappt eine Attacke, löst das einen Crash aus.

Die Entwickler versichern, die Schwachstellen mit einem Fix für IBM Guardium Data Protection 12.0 geschlossen zu haben. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.

Die Entwickler von Chrome, Firefox und Thunderbird haben in der Nacht zum Mittwoch Aktualisierungen veröffentlicht, die teils kritische Sicherheitslücken in den Programmen schließen. Nutzerinnen und Nutzer sollten sicherstellen, dass sie die aktualisierte Fassung einsetzen.

Besonders gravierend ist eine Sicherheitslücke in allen unterstützten Firefox- und Thunderbird-Versionen. Eine doppelte Freigabe von Ressourcen (double free) im libvpx-Encoder in der Funktion vpx_codec_enc_init_multi nach einer fehlerhaften Allokation bei der Initialisierung des Encoders für WebRTC kann zu Speicherkorruption und einem möglicherweise missbrauchbaren Absturz führen. Die Schwachstelle stufen die Mozilla-Entwickler sogar als "kritisch" ein, wie sie etwa in der Sicherheitsmitteilung zu Firefox 139 schreiben.

Sie haben sogar zunächst einen eigenen CVE-Schwachstelleneintrag dafür angelegt (CVE-2025-5262), diesen jedoch wieder zurückgezogen, da eine andere CVE Numbering Authority (CNA) als Mozilla dafür zuständig sei. Die CISA hatte bereits eine CVSS-Berechnung vorgeschlagen und kam auf einen CVSS-Score von 7.5, was abweichend der Mozilla-Einstufung das Risiko "hoch" bedeutet. Sofern die zuständige CNA einen CVE-Eintrag erstellt hat, wollen die Mozilla-Entwickler den referenzieren.

Die Schwachstelle schließen die nun neu verfügbaren Versionen Firefox 139, Firefox ESR 128.11, Firefox ESR 115.24 und auch das Mailprogramm Thunderbird 139 und 128.11. Wer die einsetzt, sollte zügig den Versionsdialog der Software aufrufen, der in der Regel im Einstellungsmenü über das Symbol rechts oben neben der Adressleiste und dort schließlich unter "Hilfe" – "Über <Programmname>" zu finden ist. Der zeigt die aktuelle Version und bietet gegebenenfalls die Aktualisierung an.

Google hat zudem aktualisierte Fassungen des Chrome-Webbrowsers veröffentlicht. Sie schließen insgesamt acht Sicherheitslücken, von denen die Programmierer zwei als hohes Risiko, fünf als mittleres und eine als niedrigen Bedrohungsgrad eingestuft haben. Die hochriskanten Lücken umfassen etwa Zugriffe auf bereits freigegebene Ressourcen (use after free) im Compositing, was Angreifer oftmals zum Einschleusen von Schadcode missbrauchen können. Außerdem kann ein Schreibzugriff außerhalb vorgesehener Speichergrenzen in der Javascript-Engine V8 einen ähnlichen Effekt haben.

Der Sparkurs der US-Regierung bei den eigenen Behörden macht auch keine Ausnahme bei der Cybersicherheit. Wie aus einer internen E-Mail des neuen stellvertretenden Direktors der Cybersicherheitsagentur CISA hervorgeht, haben mehr als die Hälfte der Führungskräfte diese US-Behörde bereits verlassen, nachdem US-Präsident Donald Trump Elon Musk in sein Team geholt hat, um den Verwaltungsapparat der USA zu straffen.

Bereits Anfang dieses Jahres hat das Ministerium für innere Sicherheit der Vereinigten Staaten (Department of Homeland Security, DHS) die Untersuchung zu einem massiven Cyberangriff in den USA gestoppt, indem alle US-Beamten eines Gremiums, das die CISA beraten hat, zurückgerufen wurden. Experten bezeichneten dies als "Geschenk an China", denn zuvor waren die US-Netzbetreiber AT&T, Verizon und Co. angeblich von einer chinesischen Spionagegruppe infiltriert worden. Doch die entsprechende Untersuchung wurde dadurch praktisch beendet oder zumindest deutlich eingeschränkt.

Diese Situation dürfte sich künftig nicht verbessern. Denn letzte Woche Donnerstag hat Madhu Gottumukkala, Vize-Direktor der CISA (Cybersecurity and Infrastructure Security Agency) seine Mitarbeiter darüber informiert, dass die Leiter von fünf der sechs CISA-Abteilungen und sechs von zehn Regionalbüros bis Ende dieses Monats diese US-Behörde verlassen haben oder werden. Das berichten die Washington Post und das US-Magazin Cybersecurity Dive.

Experten sehen diese Entwicklung kritisch, denn "der Abgang dieser Führungskräfte könnte die Effizienz und strategische Klarheit der Partnerschaften von CISA mit Betreibern kritischer Infrastrukturen, privaten Sicherheitsfirmen, ausländischen Verbündeten, Landesregierungen und lokalen Notfallmanagern untergraben". Dies weckt Befürchtungen um die Fähigkeiten der CISA, wie der US-amerikanische Cybersecurity-Journalist Eric Geller bei Bluesky schreibt.

Auch CISA-Mitarbeiter sind besorgt. "Angesichts der hohen Zahl an Abgängen hochrangiger Mitarbeiter, darunter einige, die schon seit den Tagen des US-CERT hier waren, herrscht große Besorgnis darüber, wann die Kürzungen und Abgänge endlich aufhören und wir als Agentur weiter vorankommen können", heißt es etwa. Das Computer Emergency Readiness Team (CERT) der USA wurde fast 20 Jahre nach seiner Formierung Anfang 2023 von der CISA auf- und abgelöst. Ein anderer, ebenfalls anonymer Angestellter fügte hinzu, dass "es sich anführt, als würden die falschen Leute gehen".

Die europäische Weltraumagentur ESA hat am heutigen Dienstag dieser Woche das neue Cyber Security Operations Centre (C-SOC) eröffnet. Es soll die IT-Sicherheit für die kritische Infrastruktur der ESA verbessern.

Die ESA hat das C-SOC auf zwei Standorte verteilt: Einmal am Europäischen Raumfahrtkontrollzentrum (ESA/ESOC) in Darmstadt, und eine zweite Einrichtung am Europäische Weltraumsicherheits- und Bildungszentrum (ESA/ESEC) im belgischen Redu. Die Aufgabe des C-SOC soll sein, "digitale Vermögenswerte" der ESA zu überwachen und zu schützen, vom "Satelliten im Weltraum bis hin zum weltweiten Netz Bodenstationen und Missionskontrollsystemen auf der Erde", wie die ESA in ihrer Ankündigung schreibt.

Die Einrichtung des Cyber Security Operations Centre lässt sich als Reaktion auf die steigende Bedrohungslage verstehen. "Diese Initiative kommt zu einer Zeit, in der die Weltrauminfrastruktur zunehmend integraler Bestandteil der europäischen Wirtschaft und Gesellschaft wird und die Cyber-Bedrohungen immer ausgeklügelter werden", erklärt die ESA. Massimo Mercati, Leiter des ESA Security Office, erörtert dazu: "Der Betrieb von Satelliten erfordert hochspezialisierte und kontextbewusste Cybersicherheitsmaßnahmen. Ein Missionskontrollzentrum wie das ESOC, das eine Flotte von 28 einzigartigen Satelliten um die Erde und im gesamten Sonnensystem betreibt, stellt eine sehr unterschiedliche Cyber-Bedrohungslandschaft dar als eine traditionelle IT-Umgebung und erfordert andere, ausgeklügeltere Lösungen."

Die ESA verfüge mit dem Sicherheitsbüro der Agentur und dem Computer Emergency Response Team der ESA (ESACERT) an ihrem ESA/ESRIN-Zentrum für Erdbeobachtung in Italien bereits über IT-Sicherheitsfähigkeiten. Das "Ausmaß und die Komplexität der heutigen Herausforderungen" erfordere jedoch die Einrichtung einer dedizierten Einrichtung. Dass das C-SOC an zwei Standorten sitzt, soll betriebliche Resilienz und Redundanz gewährleisten. Das ESEC konzentriere sich auf ESA Unternehmens-IT-Systeme wie E-Mail und Cloud-Infrastruktur, während das ESOC missionskritische Systeme schützen soll, die Satelliten steuern und wissenschaftliche Daten verarbeiten. Aufgrund der Aufteilung des C-SOC könne jeder Standort den anderen bei Bedarf unterstützen.

Das C-SOC habe der europäischen Industrie einen Schub gegeben, erklärt die ESA weiter. 19 europäische Unternehmen haben ein Konsortium unter der Leitung von Leonardo gegründet. Dieses war an der Entwicklung, Integration und Validierung des C-SOC beteiligt. Den regulären Tagesbetrieb übernimmt ein Konsortium aus Nexova, Nvisio und Station. Mercati sagte dazu: "Die Vorteile des Zentrums gehen über die ESA hinaus", denn es "stattet europäische Unternehmen mit den Werkzeugen und Erfahrungen aus, um in einem neuen und schnell wachsenden Bereich der Cybersicherheit für den Weltraum führend zu sein. Das C-SOC der ESA zeigt, wie institutionelle Raumfahrtagenturen mit der Industrie zusammenarbeiten können, um kritische Vermögenswerte zu schützen und Innovationen in der wachsenden Weltraumwirtschaft zu fördern."

Ein Blogbeitrag der auf KI-Security ausgerichteten Firma Invariant Labs zeigt, dass der offizielle GitHub MCP Server (Model Context Protocol) zu Prompt-Injection-Angriffen einladen kann.

In einem Proof of Concept hat ein Angreifer über ein GitHub-Issue einen mit MCP verbundenen KI-Agenten dazu veranlasst, private Informationen über den Maintainer eines Projekts preiszugeben. Der KI-Agent hat dabei den MCP Server von GitHub genutzt, der Zugriff auf die Inhalte des Repositories bietet.

Der Proof of Concept nutzt keinen Bug im GitHub MCP Server, sondern setzt auf eine Form der Prompt Injection, also die Möglichkeit dem Sprachmodell Befehle unterzujubeln.

Das Model Context Protocol dient dazu, KI-Modelle mit externen Tools zu verbinden, um diverse Aktionen wie Zugriffe auf Datenbanken, Webseiten oder Dateien auszuführen. Der GitHub MCP Server bietet eine direkte Anbindung an die GitHub-APIs, um Arbeitsabläufe zu automatisieren oder die Inhalte der Repositorys zu analysieren. Er ist kein Bestandteil der GitHub-Plattform, sondern GitHub stellt den Server als eigenständiges Open-Source-Tool bereit.

Das Angriffsszenario: Der GitHub MCP Server gewährt dem KI-Agenten auch Zugriff auf die privaten Informationen, da er auf dem User-Account arbeitet.

In der Management-Software ManageEngine ADAudit Plus von Zohocorp stecken zwei Sicherheitslücken, die die Entwickler als hochriskant einstufen. Aktualisierungen stehen bereit. IT-Verantwortliche sollten prüfen, ob ihre Instanzen auf aktuellem Stand sind.

Bei beiden Schwachstellen handelt es sich um SQL-Injection-Lücken. "Eine SQL-Injection-Schwachstelle betrifft die API, die für das Abholen von Daten bezüglich des ADAudit Plus OU-Verlauf-Berichts verantwortlich zeichnet, wurde korrigiert", schreibt Zoho in der ersten Sicherheitswarnung (CVE-2025-41407 / keine EUVD, CVSS 8.3, Risiko "hoch"). Die potenziellen Auswirkungen beschreibt Zoho als: "Diese Schwachstelle könnte authentifizierten Gegnern ermöglichen, eigene Abfragen auszuführen und auf Datenbank-Tabelleneinträge mit der verwundbaren Anfrage zuzugreifen."

Dieselbe Schwachstellenbeschreibung liefert Zoho für die zweite Sicherheitslücke – sie betrifft eine weitere API: "Eine SQL-Injection-Schwachstelle betrifft eine API, die verwantwortlich dafür ist, ADAudit-Plus-Berichte zu exportieren" (CVE-2025-36527 / keine EUVD, CVSS 8.3, Risiko "hoch"). Die Auswirkungen sind zur ersten Lücke identisch.

Für derartige Angriffe anfällig isst ManageEngine ADAudit Plus vor Build 8511. Diese und neuere Versionen stopfen die beiden Sicherheitslecks. Sie stehen auf der Service-Pack-Webseite von Zohocorp zum Herunterladen bereit. Die Korrektur erfolgte bereits am 9. Mai, zum Wochenende wurden jedoch die Schwachstellenmeldungen öffentlich.

Zuletzt hatte Zohocorp in der webbasierten Identitätsverwaltungssoftware ADSelfService Plus eine Sicherheitslücke stopfen müssen. Angreifer hätten sonst Konten durch die als hohes Risiko eingestufte Schwachstelle übernehmen können. Als Ursache dafür nannten die Entwickler des Unternehmens ein fehlerhaftes Session-Handling.

Beim Sportartikelhersteller Adidas haben Cyberkriminelle Daten von Kunden abgegriffen. Das hat das Unternehmen am Freitag mitgeteilt. Der genaue Umfang des Datenlecks ist derzeit unklar.

In einer "Datensicherheitsinformation" liefert Adidas erste Hinweise auf die entwendeten Daten. "Adidas hat kürzlich erfahren, dass eine nicht autorisierte, externe Partei Kundendaten durch einen beauftragten Kundendienstanbieter erlangt hat", schreibt der Hersteller dort. "Wir haben umgehend Schritte unternommen, um den Vorfall zu begrenzen und eine umfassende Untersuchung eingeleitet, bei der wir mit führenden IT-Sicherheitsexperten zusammenarbeiten", erklärt Adidas weiter.

Die betroffenen Daten enthielten keine Passwörter, Kreditkarteninformationen oder anderweitige zahlungsbezogenen Hinweise, betont der Sportartikelhersteller. "Es besteht im Wesentlichen aus Kontaktinformationen, die zu Kunden gehören, die unseren Kundendienst in der Vergangenheit kontaktiert haben", präzisiert der Hersteller. Ab welchem Zeitraum dort Daten vorlagen, erklärt Adidas jedoch nicht. Das Unternehmen führt weiter aus: "Adidas ist dabei, im Einklang mit anwendbarem Recht potenziell betroffene Kundinnen und Kunden sowie ebenso zuständige Datenschutz- und Strafverfolgungsbehörden zu informieren".

Unklar bleibt, wie die Täter bei dem Dienstleister von Adidas einbrechen konnten – etwa über Phishing von Zugangsdaten oder aufgrund von Sicherheitslücken in der eingesetzten Software. Auf eine Anfrage zu weiteren Informationen und konkreterem Ausmaß der abgeflossenen Daten hat Adidas bislang noch nicht reagiert. Wir reichen weitergehende Informationen gegebenenfalls an dieser Stelle nach.

Wer sich in der Vergangenheit an den Adidas-Kundendienst gewendet hat, sollte bei neu eintreffenden Nachrichten besondere Vorsicht walten lassen. wenn sie Bezug zu Adidas oder etwa sportlichen Aktivitäten haben. Mit den erbeuteten Daten können Kriminelle etwa Phishing-Kampagnen individueller zuschneiden, da die Information über den Kontakt mit Adidas dafür beispielsweise thematische Aufhänger liefert.

IT-Sicherheitsforscher haben eine Social-Engineering-Kampagne auf Tiktok aufgespürt, in der die Angreifer ihren Opfern Malware unterschieben wollen. Dabei versprechen die Täter, gecrackte Software anzubieten – am Ende landen jedoch PowerShell-Befehle in der Zwischenablage, die Opfer ausführen und sich damit Infostealer unterjubeln lassen.

In einer Analyse gehen die IT-Forscher von Trend Micro in die Details. Demnach produzieren die kriminellen Drahtzieher mutmaßlich KI-generierte Videos, die angeblich Schritte zur Aktivierung von Software oder zur Freischaltung von Premium-Funktionen vorführen. Tatsächlich führt die Anleitung dann jedoch PowerShell-Befehle aus. Die wiederum laden die Infostealer StealC und Vidar herunter und verankern sie auf den Computern der Opfer.

Die Angreifer versuchen, die Opfer dort zu finden, wo sie unterwegs und empfänglich für Social Engineering sind: in den sozialen Netzwerken. Während jedoch bisherige Kampagnen etwa durch die Anwesenheit von eingeschleustem Javascript auf kompromittierten Landing-Pages erkennbar waren, setzen die Täter bei dieser Tiktok-basierten Malware-Kampagne auf reines Social Engineering ausschließlich mit dem Video-Inhalt. Die Besonderheit von Tiktok mit der riesigen Nutzerbasis und algorithmisch vergrößerter Reichweite seien idealer Nährboden für Cyberkriminelle, erörtern Trend Micros IT-Forscher.

Angreifer erreichen eine breite Verteilung, ohne sich um eine eigene Infrastruktur kümmern zu müssen, erklären sie weiter. Durch die Nutzung von KI-generierten Inhalten lasse sich so eine Kampagne großskalieren, anstatt nur vereinzelte Vorfälle zu erzeugen. Derartige Videos lassen sich schnell produzieren und für unterschiedliche Nutzersegmente maßgeschneidert anpassen.

Auffällig sei bei der beobachteten Kampagne zudem, dass die TikTok-Videos verbale Anleitungen liefern, mit denen die Opfer PowerShell-Befehle auf ihren Maschinen ausführen. Dadurch ist kein schädlicher Code auf der Plattform sichtbar, auf den Sicherheitssoftware anschlagen könnte.

Akamai, Betreiber des großen Content Delivery Network, warnt aktuell vor einer Sicherheitslücke im Active-Directory-Betrieb von Windows Server 2025. Nutzerinnen und Nutzer können dadurch ihre Rechte ausweiten.

Das Cloud-Unternehmen hat die Lücke "BadSuccessor" genannt. In einem Blog-Beitrag erörtert Akamai Details zur Schwachstelle. Demnach missbraucht ein Angriff eine Funktion namens "delegated Managed Service Account" (dMSA), die Microsoft mit dem Windows Server 2025 neu eingeführt hat. Verwundbar sei die Standardkonfiguration und eine Attacke trivial zu implementieren, erklärt Akamai.

Das Problem betrifft Akamais Analyse zufolge die meisten Organisationen, die Active Directory nutzen. "In 91 Prozent der Umgebungen, die wir untersucht haben, haben wir Nutzerkonten außerhalb der Domain-Admin-Gruppe entdeckt, die die nötigen Rechte zum Ausführen der Attacke haben", schreiben die Autoren. Microsoft plant demnach, das Problem zu korrigieren, jedoch ist bislang kein Patch verfügbar. IT-Verantwortliche müssen daher selbst Maßnahmen ergreifen, um die Angriffsfläche zu reduzieren. Die von Akamai vorgeschlagenen Lösungsansätze seien von Microsoft abgesegnet.

Der Angriff funktioniert, da Microsoft in Windows Server 2025 die "delegated Managed Service Accounts" (dMSA) eingeführt hat. Es handelt sich um eine neue Art von Dienstkonto im AD, das auf die Group Managed Service Accounts (gMSAs) aufsetzt. Die dMSAs können bestehende, unverwaltete Dienstkonten in dMSAs konvertieren. Als die IT-Forscher von Akamai etwas in den Innereien von dMSAs gestöbert haben, sind sie auf eine Möglichkeit zur Ausweitung der Rechte gestoßen – im Blog-Beitrag geht das Unternehmen tiefer ins Detail.

Mit den dMSAs ist es aufgrund der gefundenen Schwachstelle möglich, jeden Principal in einer Domäne zu übernehmen. Angreifer benötigen dazu lediglich eine bestimmte Berechtigung in einer der Organisational Units (OUs) der Domäne, nämlich eine Schreibberechtigung auf einen beliebigen dMSA. Damit ein Angriff klappt, müssen in einer Domäne nicht einmal dMSAs genutzt werden – dafür muss lediglich mindestens ein Windows Server 2025 als Domain Controller im Netz laufen.

Google hat bekanntgegeben, dass das US-amerikanische Unternehmen über die BWI GmbH Cloud-Instanzen für die Bundeswehr bereitstellen wird. Bis Ende 2027 sollen zwei neue Cloud-Instanzen für die Streitkräfte entstehen.

Die BWI GmbH ist eine reine Bundesgesellschaft und versteht sich als IT-Systemhaus und IT-Dienstleister der Bundeswehr. Sie hat für die deutschen Verteidigungskräfte mit der Google Cloud Public Sector – Deutschland GmbH jetzt einen Rahmenvertrag über die Beschaffung von "Google Cloud Air-Gapped" abgeschlossen.

Die Cloud-Umgebung kann physisch isoliert vom öffentlichen Internet und anderen Google-Systemen in eigenen Rechenzentren der Bundeswehr installiert und betrieben werden, was Google "air-gapped" bezeichnet. In Googles Mitteilung im Cloud-Blog betont das Unternehmen daher: "Die Bundeswehr besitzt so zu jeder Zeit die Kontrolle über die eigenen Daten und kommt damit ihrer Anforderung nach Informations- und Datensicherheit nach."

Es geht dabei um die "private Cloud" der Bundeswehr, kurz pCloudBw. Zwei physikalisch getrennte Cloud-Instanzen soll die BWI aufbauen, zur Verarbeitung offener und geschützter Daten. Die Bundeswehr will geschäftskritische Anwendungen auf der "Business Technology Platform" (BTP) von SAP im sicheren Betrieb im eigenen Rechenzentrum oder Netzwerk nutzen. Die Bundeswehr nutzt die SAP-Software für logistisch-administrative Zwecke. Die SAP-Software kommt nur mit bestimmten Systemen zurecht, eine offene Lösung wie OpenStack gehört nicht dazu.

Die Bundeswehr verfolge eine "Cloud-First"-Strategie, wodurch künftige Dienste grundsätzlich in der Cloud bereitstehen sollen. Die BWI plant zudem, in Zukunft verstärkt Open-Source-Software in der pCloudBw einzusetzen – "um damit ihrem Anspruch nach digitaler Souveränität nachzukommen". Über die Kosten der beiden Cloud-Instanzen verraten Google und BWI jedoch nichts.

Bereits im Jahr 2014 stießen Analysten von Kaspersky bei Untersuchungen auf verdächtigen Netzwerkverkehr, von dem sie zunächst dachten, er gehöre zu bekannten, staatlich gesteuerten Gruppen. Dafür sprachen die ähnlichen Ziele und Phishing-Kampagnen. Es handelte sich jedoch nicht um die "üblichen Verdächtigen" China, Nordkorea oder Russland.

Das haben ehemalige Kaspersky-Mitarbeiter dem Magazin TechCrunch hinter vorgehaltener Hand berichtet. Demnach handelte es sich um eine wesentlich fortschrittlichere IT-Operation, die unter anderem die kubanische Regierung zum Ziel hatte. Nach einiger Zeit konnten sie die Netzwerkaktivitäten einer bis dahin unbekannten spanisch sprechenden Cybergruppierung zuordnen, die sie "Careto" nannten. Der Name geht auf das spanische umgangssprachliche Wort mit der Bedeutung "hässliche Fratze" oder "Maske" zurück, das sich im Code der Malware fand.

Die Cyberbande "Careto" hat bislang niemand offiziell und öffentlich einer bestimmten Regierung zugeordnet. Die Ex-Kaspersky-Analysten, die die Gruppe zuerst entdeckt haben, waren jedoch überzeugt davon, dass IT-Experten im Auftrag der spanischen Regierung hinter der Spionageoperation von "Careto" standen.

Die "Careto"-Malware war für die damalige Zeit sehr weit entwickelt, Kaspersky stufte die Gruppe als eine der fortschrittlichsten Bedrohungen ein. Diese konnte sensible Daten stehlen, einschließlich privater Konversationen und Tastenanschlägen von damit infizierten Computern. Die Schadsoftware sei eingesetzt worden, um in Regierungsorganisationen und Privatunternehmen einzubrechen. Kaspersky vermied es, öffentlich die Drahtzieher hinter "Careto" zu benennen. Intern haben die IT-Forscher jedoch bereits damals auf die spanische Regierung geschlossen.

Es sind lediglich wenige staatlich gelenkte Cybergruppierungen aus westlichen Regierungen bekannt. Etwa die Equation Group, hinter der nach landläufiger Annahme die NSA steckt, oder die Lamberts-Gruppe mit Verdacht auf Beziehungen zur CIA nennt TechCrunch. Außerdem Cyberbande Animal Farm, die Frankreich zugeordnet wird und für die Malware Babar und Dino verantwortlich zeichnen soll. Damit reihe sich Spanien in die Reihe der kleinen westlichen Gruppe mit staatlich organisierten Cyberangreifern ein.

Vor einer Kampagne mit bösartigen Skripten in npm-Paketen warnt die Sicherheitsfirma Socket. Die Analysten haben 60 dieser Pakete entdeckt, die einen Infostealer enthalten, der wiederum einen Fingerprint der Maschine, Netzwerkdaten sowie Verzeichnisstrukturen ausspioniert und an ein Discord-Konto der Angreifer sendet.

Die sechzig Pakete gehen von drei npm-Accounts aus (bbbb335656, cdsfdfafd1232436437 und sdsds656565), jeweils zwanzig, und wurden bereits 3000 Mal heruntergeladen. Das in allen Fällen gleiche, bösartige Skript startet mit der Installation (npm install) und führt einen Sandbox-Check aus, wird also nur in einer nichtvirtuellen Umgebung aktiv, auf einer Workstation oder einem echten CI-Knoten. Betroffen sind Windows-, macOS- und Linux-Systeme.

Das Beispiel für ein verseuchtes Paket ist in der npm-Registry inzwischen nicht mehr zu finden.

(Bild: Socket)

Immer wieder kommt es zu großflächigen Angriffen auf die Supply-Chain und obwohl die aktuell aufgetauchten Pakte inzwischen aus dem npm-Verzeichnis verschwunden sind, warnen die Analysten vor einer möglichen Ausweitung des Angriffs: "Die bösartigen Akteure können das Skript leicht klonen, seine Download-Telemetrie in Echtzeit aufzeichnen und es neu veröffentlichen." Mit den gestohlenen Daten besitzen die Täter genug Informationen für weitere Angriffe. Gerade in CI-Umgebungen ergeben sich durch die Kenntnis der Paket-Registries und Build-Pfade Möglichkeiten für weitergehende Lieferkettenangriffe.

Zum Wochenende wurde die "Operation Endgame 2.0" bekannt, eine Aktion internationaler Strafermittler gegen Malware-Ersteller und -Verteiler. Die Strafverfolgungsbehörden beschlagnahmten Domains und verhafteten Verdächtige – und erlangten Zugriff auf viele Millionen E-Mail-Adressen und Passwörter von Opfern.

Die Behörden haben diese Daten nun dem Have-I-Been-Pwned-Projekt (HIBP) zukommen lassen. Dessen Betreiber Troy Hunt hat insgesamt 15,3 Millionen E-Mail-Adressen sowie 43,8 Millionen Passwörter von Opfern dem Datenfundus von HIBP hinzugefügt, wie er in einem Datenleck-Eintrag dazu schreibt.

Das Have-I-Been-Pwned-Projekt bietet die Suche nach der eigenen E-Mail-Adresse an und liefert zurück, ob und wenn ja, bei welchen Datenlecks die E-Mail-Adresse auftauchte. Die Zugangsdaten zu betroffenen Konten sollten Betroffene schleunigst ändern. Zudem lässt sich bei HIBP auch prüfen, ob Passwörter in den Datenlecks aufgetaucht sind.

Auch Passwörter lassen sich prüfen – das hier gesuchte taucht tausende Male in Datenlecks auf.

(Bild: Screenshot / dmk)

Microsoft hat Softwareaktualisierungen außerhalb der gewohnten Update-Intervalle für Windows Server 2022 und Windows 10 veröffentlicht. Sie korrigieren teils etwas exotischere Fehler, die zumindest zum Teil von den Sicherheitsupdates des Mai-Patchdays dieses Jahres stammen.

Zum Wochenende hat Microsoft für Windows Server 2022 ein ungeplantes Update bereitgestellt. Im Windows Message Center schreibt der Konzern, dass bestimmte vertrauliche virtuelle Maschinen, die in Hyper-V unter Windows Server 2022 laufen, plötzlich und unerwartet nicht mehr reagieren oder neu starten können. Das habe Einfluss auf die Verfügbarkeit der Dienste und erfordere manuelle Eingriffe. Vorrangig betreffe das Azure Confidential VMs. Microsoft erwartet, dass Standard-Hyper-V-Umgebungen davon nicht betroffen seien, "außer in seltenen Fällen, in denen Vorschau- oder Pre-Production-Konfigurationen" zum Einsatz kämen.

Das Update KB5061906 hebt das Betriebssystem auf den Versionsstand 20348.3695. Es ist ausschließlich im Windows-Update-Katalog verfügbar. Microsoft ordnet das Update als Nicht-Sicherheits-Update ein. Die Entwickler empfehlen zudem, dieses Update zu nutzen, sofern die Mai-Sicherheitsupdates noch nicht angewendet wurden. Wer von dem Problem nicht betroffen sei, müsse das ungeplante Update hingegen nicht installieren.

Etwa früher in der vergangenen Woche haben Microsofts Entwickler zudem ein Update außerhalb des regulären Rhythmus herausgegeben, das Probleme mit bestimmten Intel vPro-Prozessoren und aktivierter Trusted-Execution-Technology (TXT) sowie Bitlocker beseitigen soll. Laut Eintrag im Windows Message Center kann das Sicherheitsupdate aus dem Mai kann in dieser Konstellation den Prozess "lsass.exe" unerwartet beenden, was die automatische Reparaturfunktion startet. Auf Geräten, die Bitlocker-Verschlüsselung nutzen, führt das zum Prompt mit der erzwungenen Abfrage des Bitlocker-Wiederherstellungsschlüssels.

Der Knowledgebase-Eintrag KB5061768 beschreibt das ungeplante Update für Windows 10, das dieses Problem lösen soll. Es hebt die Windows-10-Versionen auf 19044.5856 respektive 19045.5856. – steht also für Windows 10 21H2 und 22H2 zur Verfügung; die Entwickler nennen zudem die Fassungen Windows 10 Enterprise LTSC 2021 sowie Windows 10 IoT Enterprise LTSC 2021. Microsoft verteilt das Update ebenfalls ausschließlich über den Windows Update Katalog. Da Intel vPro eher nicht in Umgebungen zum Einsatz kommt, die Windows Home oder Pro-Versionen nutzen, seien diese wahrscheinlich eher nicht von dem Problem betroffen. In Organisationen, in denen das Problem nicht auftritt, muss das Update nicht installiert werden, erörtern Microsofts Entwickler zudem.

In New York soll ein Kryptogeld-Investor einen italienischen Touristen entführt und wochenlang gefoltert haben, um an dessen Bitcoin zu kommen. Das berichtet NBC News unter Berufung auf Strafverfolgungsbehörden und eine Strafanzeige. Dem 37-Jährigen wird demnach vorgeworfen, den 28-jährigen Italiener seit dem 6. Mai in einer Wohnung in Manhattan festgehalten zu haben. Er habe ihm wohl gemeinsam mit einer Komplizin die Elektronikgeräte abgenommen, gefoltert und mit dem Tod gedroht, um das Passwort für dessen Bitcoin-Wallet zu erhalten. Nachdem das Opfer entkommen und die Polizei informieren konnte, wurde der mutmaßliche Haupttäter und später eine mutmaßliche Komplizin festgenommen.

Wie NBC News unter Berufung auf Strafverfolgungsbehörden ergänzt, sollen die insgesamt drei Personen seit Jahren gemeinsame Geschäfte gemacht haben. Nach dem Kidnapping sollen die beiden Verdächtigen mit so ziemlich allen Mitteln versucht haben, an die Bitcoin ihres Partners zu gelangen. Die Nachrichtenseite schreibt, dass er im fünften Stock über einen Balkon gehängt worden sein soll. Außerdem sollen ihm die beiden nicht nur selbst mit dem Tod gedroht haben, auch seine Familie würden sie ermorden, hätten sie behauptet. Sie haben ihn angeblich geschlagen, Stromstöße verpasst und ihm ein AirTag von Apple umgebunden, um ihn von einem Fluchtversuch abzuhalten. Das Opfer befindet sich demnach jetzt im Krankenhaus.

Der mutmaßliche Haupttäter soll dem Bericht zufolge ein Vermögen von etwa 100 Millionen US-Dollar besitzen, beim Opfer sollen es 30 Millionen US-Dollar sein. In dem Gebäude, in dem sich das zugetragen haben soll, seien Polaroid-Fotos gefunden worden, die die Folter zeigen sollen. Zudem seien Folterwerkzeuge und eine Schusswaffe sichergestellt worden. Der Fall reiht sich jetzt ein in eine ganze Reihe von teils blutigen Verbrechen in Zusammenhang mit Kryptowährungen. Vor allem in Frankreich sollen in den letzten Monaten gleich mehrere Personen, die mit Kryptowährungen zu tun hatten, entführt und erpresst – und am Ende um ihr Kryptovermögen und einen Finger gebracht worden sein.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sie haben heise+ bereits abonniert? Hier anmelden.