Comretix Blog

Um die Ransomware "Black Basta" wurde es in jüngster Zeit still. Mitte Januar veröffentlichten die Betreiber der Darknet-Leaksite zuletzt Opfer ihrer Angriffe. Offenbar liegt das an internen Streitigkeiten, wie nun bekannt wurde. Die Köpfe hinter der "Ransomware as a Service" (RaaS) waren unter anderem über Angriffe auf russische Banken uneins, neideten einander aber offenbar auch die ungleichen Diebeslöhne. Ein Insider trug nun Chatnachrichten der Organisation und veröffentlichte diese. Forscher fütterten ChatGPT damit.

Anzeige

Der unbekannte Zuträger lud ein knapp 50 MByte großes Archiv auf einem Sharehoster hoch, das Einblicke in die Struktur der "Black Basta"-Organisation erlaubt. Hinter diesem Namen verbirgt sich ein Geschäftsmodell, das Kriminellen gegen Zahlung einer Gebühr und einer Gewinnbeteiligung Zugriff auf die gleichnamige Ransomware, aber auch Infrastruktur wie die sogenannte "Leaksite" gestattet. Die kriminellen Abonnenten von Black Basta, bekannt als "Affiliates", führen Angriffe jedoch auf eigenes Risiko aus. Eine Provision, oft ein prozentualer Anteil des Lösegelds, fließt zurück an die Betreiber des Ransomware-Franchise. Viele RaaS-Anbieter geben Affiliates Regeln für mögliche Opfer vor – so verbietet Lockbit etwa Angriffe auf Ziele in Staaten der GUS mit Verweis auf die Herkunft des Ransomware-Programms. Affiliates von Black Basta wollten offenbar aus Geldgier russische Banken angreifen, was mindestens einem Akteur ein Dorn im Auge war.

Neben allerlei kleineren und größeren Disputen um Gehaltszahlungen und persönliche Streitigkeiten zwischen den Black-Basta-Affiliates enthält das Datenleck jedoch auch Informationen, die Sicherheitsforschern spannende Blicke in die technischen Interna des Programms bieten. Das auf Threat Intelligence, also Informationsbeschaffung zu Bedrohungsakteuren, spezialisierte Unternehmen Hudson Rock fütterte das LLM ChatGPT mit allen Informationen aus den Chatprotokollen und trainierte so einen Ransomware-Chatbot.

Im von ChatGPT gewohnten Gewand beantwortet die KI nun Neugierigen allerlei Fragen, etwa die nach den häufigsten Taktiken des RaaS-Programms oder den Personen hinter der Ransomware. Auch Einzelheiten der Verhandlungen mit ihren Opfern plaudert der Chatbot aus. So scheinen sich die Black-Basta-Affiliates auf Portalen wie ZoomInfo über den Umsatz ihrer Opfer zu informieren, bevor sie in Verhandlungen eintreten – und dann posieren die Kriminellen als seriöse Geschäftsleute und argumentieren mit typischen Business-Phrasen wie "kumulierter End-of-Year-Cashflow".

Der quelloffene Video-Codec OpenH264 ist von einer gravierenden Sicherheitslücke betroffen. Angreifer können sie missbrauchen, um Opfern Schadcode unterzuschieben.

Anzeige

Im Github-Projekt hat Cisco eine Sicherheitsmitteilung dazu veröffentlicht und erörtert darin Details. Angreifer aus dem Netz können ohne vorherige Authentifizierung einen Heap-basierten Pufferüberlauf provozieren. Das geht auf eine Race-Condition bei der Verarbeitung von Videoströmen zurück. Das können Angreifer mit einem sorgsam präparierten Bitstrom – also einer manipulierten Video-Datei – missbrauchen, zu dessen Anzeige sie Opfer lediglich verleiten müssen, um "einen unerwarteten Absturz im Decoding-Client des Opfers auszulösen, und möglicherweise beliebigen Befehle auf dem Rechner des Opfers durch Missbrauch des Überlaufs auszuführen" (CVE-2025-27091, CVSS 8.6, Risiko "hoch").

OpenH264 unterstützt Scalable Video Coding (SVC), bei dem Videos mit mehreren Bitraten codiert werden, und den Modus Advanced Video Coding (AVC) für die einzelnen Videoströme. Die Schwachstelle tritt in beiden Modi auf.

Die Schwachstelle betrifft OpenH264 in Version 2.5.0 und älter. Auf Github steht inzwischen Version 2.6.0 bereit, die die Sicherheitslücke nicht mehr enthält.

Die US-amerikanischen Behörden CISA, FBI und das Multi-State Information Sharing and Analysis Center (MS-ISAC) haben gemeinsam eine Analyse der Aktivitäten der Ransomware-Bande Ghost veröffentlicht. Darin bündeln sie Erkenntnisse aus Untersuchungen von Cybervorfällen.

Anzeige

In der Sicherheitsmitteilung schreiben die Behörden, dass die kriminellen Machenschaften von Ghost Anfang 2021 starteten. Sie attackieren seitdem im Internet erreichbare Dienste, die auf veraltete Versionen der Software oder Firmware setzen. Dabei haben Sie Einrichtungen in mehr als 70 Ländern kompromittiert – auch in China. Dort verorten die Autoren auch den Sitz der Bandenmitglieder. Ihre Angriffe dienten der finanziellen Bereicherung.

Die betroffenen Opfer stammten aus diversen Bereichen: Kritische Infrastruktur (KRITIS), Schulen und Universitäten, Gesundheitswesen, Regierungsnetzwerke, religiöse Einrichtungen, Firmen aus Technik und Produktion sowie zahlreiche kleine und mittlere Unternehmen. Die Ghost-Bandenmitglieder sind äußerst agil. Sie wechseln die ausführbare Payload, ändern Datei-Suffixe für verschlüsselte Dateien, modifizieren die Erpresserbotschaften und nutzen diverse Erpresser-E-Mail-Adressen. Das führte im Laufe der Zeit zu diversen unterschiedlichen Namen für ein und dieselbe Gruppe, etwa Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada und Rapture.

Gleichzeitig sind die Ghost-Täter auch etwas faul. Sie arbeiten offenbar nicht selbst an Exploits für Schwachstellen, sondern bedienen sich einfach an öffentlich verfügbarem Exploit-Code für Sicherheitslücken, die sehr veraltete Software auf Server im Internet zum Ziel haben. Die Autoren haben Angriffe von Ghost auf Sicherheitslücken in Fortinet FortiOS (CVE-2018-13379), Server mit Adobe ColdFusion (CVE-2010-2861, CVE-2009-3960), Microsoft SharePoint (CVE-2019-0604) sowie Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207, die Verkettung ist auch als "ProxyShell" bekannt) beobachtet, also teils mehr als 15 Jahre alte Schwachstellen.

Durch die mediale Omnipräsenz von künstlicher Intelligenz ist der Druck auf die Softwarebranche gewachsen, Produkte mit KI-Elementen anzubieten. Entwicklungsteams stehen vor der Herausforderung, ihre Produkte um KI-Komponenten zu erweitern und dabei sowohl ihr Produkt als auch die Endnutzer vor Angriffen zu schützen. Während bereits reguläre Maßnahmen zur Erhöhung der IT-Sicherheit für viele Unternehmen eine Hürde darstellen, so ist das bei Software mit KI nochmals erschwert, da KI-Expertinnen und -Experten erst langsam anfangen, Sicherheitsfragen systematisch zu bearbeiten und ihre Erkenntnisse zu verbreiten.

Anzeige

In der Entwicklungsbranche mit ihren häufig agilen Prozessen hinkt oft die IT-Sicherheit der Feature-Entwicklung hinterher. OWASP, NIST AI RMF, Google CoSAI und andere versuchen, das zu ändern, die Umsetzung ist jedoch insbesondere für kleine und mittelständische Unternehmen eine Herausforderung. Sogar größeren Konzernen fällt es schwer, ihren Kunden klarzumachen, dass ein frühzeitiges und umfangreiches Investment in sichere KI langfristig einen Wettbewerbsvorteil darstellt. Dabei haben Konzerne eher die Möglichkeit, Entwicklerinnen und Entwickler für die Weiterbildung abzustellen oder externes Expertenwissen einzukaufen.

Umgekehrt fassen viele Kunden ihre Forderung nach intelligentem Verhalten als einfachen Feature Request auf, da KI bequem per API von externen Betreibern eingebunden werden kann. Aber nur weil eine API einfach zu benutzen ist, heißt das nicht, dass das Endprodukt damit automatisch sicher ist.

Der EU AI Act hilft Sicherheitsverantwortlichen bei der Risikobewertung innerhalb der EU. Er geht auf die Problematik multimodaler KI-Modelle ein, wobei er speziell das Thema Datenfusion und die damit verbundenen Datenschutzprobleme regelt. Beratern liefert er auch ein Motiv, mit dem sie Kunden davon überzeugen können, ein KI-Projekt sorgsam zu planen: Denn er gilt für alle Anbieter von KI-Systemen auf dem europäischen Markt und sieht Strafen bis zu vierzig Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes vor. Ob und in welchem Umfang das jeweilige System unter den EU AI Act fällt, lässt sich online prüfen. Dieses Tool gibt auch Hinweise auf besondere Anforderungen, wie eine Pflicht zur maschinenlesbaren Kennzeichnung für KI-generierte Ergebnisse.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf Sicherheitslücken in Craft CMS und in Palo Alto Networks Firewall-Betriebssystem PAN-OS. Für die attackierten Schwachstellen stehen Updates bereit, die IT-Verantwortliche spätestens jetzt installieren sollten.

Anzeige

In der CISA-Warnung nennt die Behörde etwa eine vor einer Woche gemeldete und dort mit Software-Aktualisierungen geschlossene Lücke in PAN-OS, auf die Cyberattacken beobachtet wurden. Es handelt sich um eine Umgehung der Authentifizierung im Management-Web-Interface der Firewalls. Zwar ermöglicht die Lücke kein Einschleusen von Schadcode, aber Angreifer mit Zugriff auf das Interface können ohne Anmeldung darauf zugreifen und bestimmte PHP-Skripte aufrufen (CVE-2025-0108, CVSS 8.8, Risiko "hoch"). Bereits vergangene Woche war Exploit-Code verfügbar, den nutzen bösartige Akteure nun inzwischen offenbar im Internet.

Aktualisierungen für die betroffenen Betriebssystemversionen sind ebenfalls seit einer Woche verfügbar: PAN-OS 10.1.14-h9, 10.2.13-h3, 11.1.6-h1 und 11.2.4-h4 und jeweils neuere Fassungen schließen die Lücken.

Zudem hat die CISA Kenntnis von Angriffen auf Schwachstellen im Content-Management-System Craft. Die attackierte Schwachstelle ermöglicht Angreifern aus dem Netz das Einschleusen und Ausführen von Schadcode. Sie betrifft Craft 4- und 5-Installationen, bei denen der Security-Key kompromittiert wurde (CVE-2025-23209, CVSS 8.1, hoch). Diesen Key sollten Admins unbedingt geheim halten, erörtert ein Absatz aus der Anleitung zur Absicherung von Craft. Die Schwachstellenbeschreibung nennt Craft 5.5.8 und 4.13.8 und neuere Versionen als Fehlerkorrektur.

Auf der Cisco Live EMEA in Amsterdam präsentierte Cisco eine Reihe neuer Sicherheits- und Netzwerkprodukte, die Unternehmen dabei unterstützen sollen, ihre KI-Strategien sicher und effizient umzusetzen. Dazu gehört unter anderem Cisco AI Defense, ein Dienst zur Bewältigung der größten Herausforderungen im Umgang mit KI und großen Sprachmodellen (LLMs).

Anzeige

Bedrohungen wie die unkontrollierte Nutzung generativer KI-Anwendungen (sogenannte Shadow AI), Manipulation von Modellen durch Prompt-Injection oder Angriffe auf Laufzeitumgebungen stellen ernsthafte Risiken dar. Cisco AI Defense soll diese Gefahren minimieren und Unternehmen eine sichere Entwicklung, Bereitstellung und den Betrieb von KI-Anwendungen ermöglichen.

Ciscos Strategie setzt auf mehrere Schutzmechanismen, die sich in vier zentralen Komponenten zusammenfassen lassen: Der Zugriff auf KI-Anwendungen kann durch Richtliniendurchsetzung reguliert werden, um unbefugte Nutzung zu verhindern. Gleichzeitig soll eine umfassende Sichtbarkeit der genutzten KI-Cloud-Anwendungen für Transparenz hinsichtlich potenzieller Risiken und Bedrohungen sorgen. Durch die kontinuierliche Analyse von KI-Modellen will Cisco Sicherheitslücken und unerwartetes Verhalten erkennen. Und ein Echtzeitschutz soll Angriffe wie Prompt-Injection oder Denial-of-Service-Attacken verhindern. Cisco Talos, das hauseigene Threat-Intelligence-Netzwerk, dient dabei als Datenquelle zur Erkennung eben solcher Angriffe.

Cisco AI Defense ist des Weiteren in die umfassendere Cisco Security Cloud integriert und nutzt Hypershield als zentrales Sicherheitssystem für KI-Workloads. Hypershield kombiniert aktuelle Netzwerksicherheitsansätze mit KI-gestützter Bedrohungserkennung und setzt auf eine verteilte Sicherheitsarchitektur. Die Idee: Sicherheit muss direkt dort greifen, wo die Anwendungen laufen – also im Netzwerk selbst. Hypershield fungiert als "Enforcement Layer" für AI Defense und erlaubt die Durchsetzung von Sicherheitsrichtlinien. Die Netzwerkperformance soll davon nicht beeinträchtigt werden.

Was, wenn die falschen Völker die Signale nicht nur hören, sondern mitverfolgen? Seit dem Beginn des russischen Großangriffs auf die Ukraine vor knapp drei Jahren gehört das Land zu den Intensivnutzern der Signal-App für sichere und verschlüsselte Kommunikation. Dass russische Nachrichtendienste und ihre Helfer großen Aufwand tätigen, um Ziele auszuspionieren, überrascht nicht – das konkrete Wie liefert aber wichtige Hinweise.

Anzeige

Googles Threat Intelligence Group warnt nun vor Attacken per manipulierten Einladungen zu Gruppenunterhaltungen. Über die wird ein Gerät des Angreifers mit dem Account des Angegriffenen verknüpft – für die Nutzer unbemerkt. Dazu reichen wenige Zeilen Javascript – und die Kommunikation des Angegriffenen wird für Dritte nachvollziehbar. Dieser Weg soll mit den aktuellen Versionen von Signal bereits versperrt sein. Dennoch empfiehlt Google, die "gekoppelte Geräte"-Liste regelmäßig auf nicht autorisierte Geräte zu prüfen.

Die Google-Sicherheitsforscher warnen zudem vor weiteren Varianten der Angriffe auf die Messenger-App. So würden mit QR-Code-Phishing-Attacken in der Ukraine gezielt Nutzer angegriffen. Als weiteres Sicherheitsrisiko werden erbeutete Geräte beschrieben, die bei Kampfhandlungen in die Hände der Angreifer geraten sind und für weitere Angriffe auf ukrainische Nutzer oder softwarebasierte Infrastrukturen benutzt werden.

Auf Seiten der Ukraine spielt "Software Defined Defence" eine zentrale Rolle: durch schnellen Austausch von Informationen über spezifische Infrastrukturen kann über den effizienten Einsatz von Ressourcen nahezu in Echtzeit entschieden werden. Setzten auch in der Ukraine zu Beginn der russischen Invasion 2022 viele Soldaten und Bürger noch auf die Telegram-App, verlagerte sich die sicherheitsrelevante Nutzung später weitgehend zu Signal.

Es gab Attacken auf mit Microsofts Software-as-a-Service-Plattform Power Pages erstellte Internetseiten. Außerdem war die Bingsuche verwundbar.

Anzeige

In beiden Fällen müssen Admins keine Sicherheitsupdates installieren, da Microsoft angibt, die beiden Onlineservices selbst abgesichert zu haben.

In einer Warnmeldung zu Power Pages schreiben sie, dass Angreifer die Authentifizierung umgehen und so unbefugt auf Websites zugreifen konnten (CVE-2025-24989 "hoch"). Das sei nun nicht mehr möglich. Microsoft gibt an, von Attacken betroffene Kunden mit Handlungsanweisungen kontaktiert zu haben. In welchem Umfang die Attacken abliefen, ist derzeit nicht bekannt.

Über Bing hätten Angreifer aufgrund von einer fehlenden Authentifizierung im Kontext einer nicht näher beschriebenen kritischen Funktion via Netzwerkzugriff Schadcode ausführen können (CVE-2025-21355 "hoch"). An dieser Stelle gibt es keine Hinweise auf Attacken.

Um Laufwerksabbilder im ISO- oder IMG-Format auf SD-Karte oder USB-Stick zu verfrachten, kann man im Terminal von Unix-artigen Betriebssystemen etwa den Befehl dd bemühen. Oder man wählt den bequemen Weg über Programme mit einfacher Benutzeroberfläche, die das mit wenigen Mausklicks erledigen. balenaEtcher ist solch ein Programm, populär und oft genutzt – jetzt warnt aber das Tails-Projekt, das eine anonymisierende Linux-Distribution entwickelt, vor dem Einsatz dieser Software.

Anzeige

Ein News-Beitrag auf der Seite des Tails-Projekts erklärt die Gründe für diese Entscheidung. Demnach habe Tails seit 2019 balenaEtcher empfohlen, um Tails von macOS und Windows aus auf einen USB-Stick zu installieren. Ausschlaggebend war die Einfachheit, mit der das Programm zu nutzen ist, und es unterstützte auch gleich Macs. Kurz danach fing balenaEtcher an, Werbung anzuzeigen. Die Tails-Entwickler mochten das zwar nicht, sahen initial jedoch kein größeres Problem für die Privatsphäre darin – und hatten schlicht auch keine bessere Alternative zur Hand.

"Im Jahr 2024 änderte sich die Situation jedoch: balenaEtcher begann, den Dateinamen des Images und das Modell des USB-Sticks mit der Firma Balena und möglicherweise mit Dritten zu teilen", schreiben die Tails-Maintainer. "Wir haben zwar noch von keinen Angriffen auf Tails-Benutzer erfahren oder gehört, die auf diese Änderung zurückzuführen sind. Aber wir glauben, dass sie ein Potenzial für Missbrauch darstellt. Um dieses Risiko gänzlich auszuschließen, haben wir uns erneut nach Alternativen umgesehen."

Sieben ISO-Image-Tools kamen in die nähere Betrachtung, am Ende machte Rufus das Rennen. Vor Jahren hatte das Team das Tool bereits getestet, empfand es aber deutlich schwerer zu nutzen. Zudem änderte es das Tails-Image auf nicht näher genannte Art und Weise, die die Tails-Maintainer jedoch als "riskant" einstuften. Jedoch habe die Firma hinter Rufus, Akeo Consulting, inzwischen das Werkzeug "wirklich in der Nutzbarkeit und Verlässlichkeit verbessert". In den Anleitungen für macOS hat Tails balenaEtcher noch nicht ersetzt: einerseits läuft Rufus nicht darunter, andererseits läuft Tails nicht auf Apple Silicon – Leute, die Tails von macOS aus installieren, repräsentierten zudem weniger als zehn Prozent aller Installationen heutzutage. Für macOS empfehlen sie jedoch die Nutzung von dd auf der Kommandozeile oder den Raspberry Pi Imager.

Citrix hat mehrere Sicherheitslücken in Netscaler Agent, Netscaler Console (zuvor als Netscaler ADM bekannt) und im Secure Access Client für macOS entdeckt. Angreifer können durch die Schwachstellen ihre Rechte in verwundbaren Systemen ausweiten. Software-Updates zum Stopfen der Lücken stehen bereit.

Anzeige

In einer Sicherheitsmitteilung warnt Citrix vor den Schwachstellen in Netscaler Agent und Netscaler Console. Details nennt der Hersteller dort nicht, sondern lediglich, dass die Lücke eine "authentifizierte Rechteausweitung" in den beiden Produkten ist. Sie ist demnach vom Typ "unzureichende Rechteverwaltung" (CVE-2024-12284, CVSS 8.8, Risiko "hoch"). Unklar bleibt, wie Angreifer sie ausnutzen und wie IT-Verantwortliche Angriffe erkennen können.

Betroffen sind Netscaler Agent und Netscaler Console 13.1 und 14.1. Die Updates auf Version 13.1-56.18 respektive 14.1-38.53 bügeln die sicherheitsrelevanten Fehler aus. Citrix merkt an, dass ausschließlich von Kunden selbst verwaltete Installationen betroffen sind, die Netscaler Console und Netscaler Console Agents verteilt haben. Von Citrix verwaltete Installationen seien bereits versorgt, Kunden und Kundinnen müssen hier nicht aktiv werden.

In einer weiteren aktuellen Sicherheitsmitteilung warnt Citrix zudem vor Sicherheitslücken im Secure Access Client für Mac. Beide Schwachstellen beschreibt Citrix als: "Angreifer können die Rechte der Anwendung ergattern, um (begrenzte) Veränderungen vorzunehmen und/oder beliebige Daten zu lesen." Einmal geht das auf einen "fehlerhaften Schutzmechanismus" zurück (CVE-2025-1222, CVSS 5.9, mittel), die andere Lücke hingegen auf ein "unkontrolliertes Suchpfad-Element" (CVE-2025-1223, CVSS 5.9, mittel).

In den Kameras aus der Produktreihe Unifi Protect sowie der zugehörigen Verwaltungsoberfläche klaffen kritische Sicherheitslücken. Angreifer können mit ihrer Hilfe Einstellungen auf den Geräten ändern und sogar eigene Kommandos ausführen.

Anzeige

Insgesamt fünf Sicherheitslücken veröffentlichte Unifi-Hersteller Ubiquiti in einem Sicherheitshinweis:

Die Sicherheitslücken betreffen alle Versionen, einschließlich 4.74.88 der Unifi-Protect-Cameras und die Unifi Protect Application in Version 5.2.46 oder früher.

Admins sollten auf die fehlerbereinigten Versionen wechseln. Das ist bei Unifi Protect Application Version 5.2.49 oder neuer, für die Kameras ist Version 4.74.106 zumindest um die vorgenannten Fehler ärmer. Zuletzt hatte der Hersteller im Oktober 2024 schwere Sicherheitslücken in einem seiner Produkte zu beklagen.

In den Multifunktionsdruckern von Xerox der Phaser-, Versalink- und WorkCentre-Baureihen haben IT-Sicherheitsforscher Sicherheitslücken entdeckt. Angreifer können dadurch Zugangsdaten ausspähen und abgreifen und sich etwa im Netzwerk einnisten.

Anzeige

Die Schwachstellen haben Mitarbeiter des IT-Sicherheitsunternehmens Rapid7 aufgespürt, wie sie in einem Blog-Beitrag erklären. Demnach sind die Drucker für sogenannte Pass-Back-Angriffe anfällig, bei denen Angreifer die Log-in-Daten verwundbarer Drucker abgreifen können, nachdem sie die Einstellungen am Gerät manipuliert haben. Das gelinge oft, da die Standard-Passwörter in den Druckern meist nicht geändert werden, schreiben die Autoren der Erklärung solch einer Attacke.

Mit dem Zugriff auf das Adressbuch können Angreifer SMB- und FTP-Einstellungen ändern, die Ausgabe von gescannten Dokumenten umleiten und Zugangsdaten abgreifen, ist der Schwachstellenbeschreibung zu entnehmen (CVE-2024-12511, CVSS 7.6, Risiko "hoch"). Dazu muss die Scan-Funktion aktiviert sein und der Druckerzugriff etwa aus dem Intranet möglich sein. Die zweite Lücke können Angreifer durch Zugriff auf die LDAP-Einstellungen missbrauchen, lautet die Beschreibung, und dort die Authentifizierung auf einen anderen Server umleiten. Dadurch können sie Zugangsdaten erlangen, sofern sie Admin-Zugang und ein aktives LDAP-Setup haben (CVE-2024-12510, CVSS 6.7, mittel).

Rapid7 erläutert die vorgefundenen Sicherheitslücken detailliert. Xerox hat mit einer eigenen Sicherheitsmitteilung reagiert und nennt darin aktualisierte Systemsoftware für die betroffenen Geräte. Verwundbar sind demnach Xerox Phaser 6510, VersaLink B400/C400/B405/C405, B600/B610, B605/B615, C500/C505/C600/C605, C7000, C7020/C7025/C7030, B7025/B7030/B7035, B7125/B7130/B7135, C7120/C7125/C7130, C8000/C9000, C8000W sowie WorkCentre 6515. Die einzelnen Firmware-Updates haben die Autoren in der Tabelle des Xerox-Dokuments verlinkt. IT-Verantwortliche sollten die Aktualisierung zügig vornehmen und unbedingt die Standard-Zugangsdaten der Geräte durch individuelle ersetzen, sofern das noch nicht geschehen ist.

Der Schutz vertraulicher Daten – etwa in Form von Passwörtern, kryptografischen Schlüsseln, personenbezogenen Informationen oder sensiblen Geschäftsgeheimnissen – ist eine der zentralen Herausforderungen für Softwareentwicklerinnen und -entwickler. Während sich viele Sicherheitsmaßnahmen auf die Verschlüsselung von Daten bei der Speicherung (at rest) oder während der Übertragung (in transit) konzentrieren, bleibt ein oft unterschätzter Angriffsvektor bestehen: der Schutz sensibler Informationen im Arbeitsspeicher (in memory).

Anzeige

Daten, die im Speicher gehalten werden, sind potenziell angreifbar durch verschiedene Methoden wie Speicherauszüge (Memory Dumps), Heap-Analysen, Seitenkanalangriffe oder unsichere Speicherverwaltung. Vor allem beim Einsatz von Programmiersprachen mit automatischem Speichermanagement, wie beispielsweise Java, stellt sich die Herausforderung, dass Entwickler nur bedingt Kontrolle darüber haben, wann sensible Daten endgültig aus dem Speicher entfernt werden.

Ein effektiver Schutz erfordert daher bewährte Praktiken wie den bewussten Umgang mit Speicherlebenszyklen, die Minimierung der Speicherdauer sensibler Daten, die Vermeidung von Speicherlecks sowie den Einsatz gezielter Mechanismen zur Absicherung des Speichers. In diesem Artikel betrachten wir allgemein bewährte Methoden, Sicherheitsrisiken und konkrete Maßnahmen in Java, um vertrauliche Daten im Speicher wirksam zu schützen.

Um insbesondere die Sicherheit vertraulicher Daten im Arbeitsspeicher gegen Techniken wie Speicherauszüge (Memory Dumps), Heap-Analysen oder Seitenkanalangriffe zu gewährleisten, ist ein strukturierter Schutzansatz erforderlich, der den gesamten Lebenszyklus dieser Daten im Speicher betrachtet. Dieser reicht von der Vermeidung unnötiger Speicherung sensibler Informationen, über eine sichere und kontrollierte Verarbeitung bis hin zum konsequenten und irreversiblen Löschen der Daten.

Wearables, die sich auch für medizinische Zwecke wie das Messen von Körperfunktionen nutzen lassen, weisen vielfach erhebliche Lücken bei der IT-Sicherheit und beim Schutz der übermittelten Gesundheitsdaten auf. Das geht aus dem Abschlussbericht zum Projekt "Sicherheit von Wearables mit medizinischen Teilfunktionalitäten" (SiWamed) des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor. Den Ergebnissen zufolge sind viele der getesteten Geräte offen für Angriffe. Schwachstellen in der Verschlüsselung, unzureichend gesicherte Kommunikationskanäle und mangelhafte Authentifizierungsmechanismen können es Übeltätern ermöglichen, sensible Informationen abzufangen oder zu manipulieren.

Anzeige

Zugleich wächst der Markt für solche Health-Wearables laut der Studie rapide, wodurch das Risiko für sicherheitsrelevante Vorfälle steigt. Die Analyse führten die Cybersicherheitsfirma eShard und der Entwicklungsservice Eesy-Innovation im BSI-Auftrag durch. Die erste Fassung des Berichts lag der Behörde schon Ende November 2023 vor, sie hat sie aber erst jetzt veröffentlicht. Die Experten wählten demnach zehn Produkte für "eine detaillierte Sicherheitsuntersuchung" aus. Darunter waren sechs vernetzte Uhren wie Smartwatches, drei Fitness-Tracker und ein Smart Ring. Die Forscher deckten dabei insgesamt 110 Schwachstellen auf, die sie als "mittel" oder "hoch" einstuften. Keines der Geräte war komplett frei von Sicherheitslücken.

Die am häufigsten gefundenen Schwachstellen betreffen die Benutzerauthentifizierung und die Bluetooth-Kommunikation. Bei vielen Geräten werde nicht einmal eine PIN abgefragt, monieren die Tester. Werde geprüft, ob ein berechtigter Anwender Zugang erhalte, gebe es oft Schwächen in der Implementierung. Sieben der acht als "hoch" eingestuften Schwachstellen betrafen das Bluetooth-Protokoll, das als Hauptkanal für die Verbindung des tragbaren Geräts mit der mobilen Anwendung dient. Die meisten der getesteten Apps verfügten zudem über keinerlei Mechanismen zum Anti-Debugging oder zum Erkennen von Rooting. Solche Verfahren könnten zumindest helfen, fortgeschrittene Angreifer abzuwehren und die Daten der Nutzer zu schützen, wenn die Plattform kompromittiert oder die mobile Anwendung angegriffen wird.

Aufgrund der Lücken war es den Forschern teils möglich, die Firmware während des Aktualisierungsprozesses abzuhören. Diese hätte im Anschluss von einem Angreifer analysiert und manipuliert werden können, wenn sie nicht ordnungsgemäß etwa durch Signaturen oder Prüfungen auf Informationslecks geschützt ist. Die Tester stellten auch fest, dass einige Schwachstellen aufgrund der Nutzung einheitlicher Betriebssysteme, Software und gemeinsamer Infrastrukturen immer wieder auftraten. Dies erhöhe die Gefahr "groß angelegter Angriffe auf viele Geräte gleichzeitig". Generell würfen die Resultate in Anbetracht der Sensibilität der verarbeiteten Daten "Fragen und Bedenken auf".

In Broadcoms Brocade SANnav klaffen Sicherheitslücken, durch die Angreifer unbefugt an Zugangsdaten gelangen oder diverse Attacken ausführen können. Aktualisierte Softwarepakete sollen die Schwachstellen ausbessern.

Anzeige

Insgesamt vor fünf Sicherheitslücken in der Storage-Area-Network-Verwaltungssoftware hat Broadcom nun gewarnt. Am schwerwiegendsten stufen die Entwickler eine Lücke ein, durch die Brocade SANnav bei bestimmten Fehlern während der Installation oder eines Upgrades die Verschlüsselungs-Keys in einen Brocade SANnav Supportsave speichert. Angreifer mit erhöhten Rechten zum Zugriff auf die Brocade-Datenbank können diesen Verschlüsselungs-Key nutzen, um an Passwörter zu gelangen, die SANnav einsetzt.

Der Docker-Daemon in Brocade SANnav läuft ohne sogenanntes Auditing. Das ermöglicht angemeldeten Angreifern aus dem Netz, diverse Attacken auszuführen. Ursache dafür ist, dass Dokcer-Operationen mit erhöhten Rechten und mit unbeschränktem Zugriff im Host-System erfolgen.

Weiterhin ist die Verschlüsselung für SSH auf Port 22 unsicher: Brocade SANnav aktiviert veraltete SHA1-Einstellungen für den Fernzugriff. Das macht die Verschlüsselung für Kollisionsattacken anfällig.

Im Packprogramm Winzip haben IT-Sicherheitsforscher eine Sicherheitslücke entdeckt. Sie ermöglicht Angreifern, Opfern mit manipulierten Archiven Schadcode unterzujubeln. Beim Öffnen einer bösartigen Webseite oder eines sorgsam präparierten Archivs mit Winzip können Angreifer aus dem Netz so beliebigen Code ausführen.

Anzeige

Die IT-Forscher von Trend Micros Zero-Day-Initiative (ZDI) haben die Lücke aufgespürt und eine Sicherheitsmitteilung dazu veröffentlicht. Das Problem besteht beim Verarbeiten von 7-Zip-Dateien (7z). "Das Problem resultiert aus mangelnder Überprüfung von Nutzer-übergebenen Daten, wodurch Schreibzugriffe über die Grenzen eines allokierten Speicherbereichs hinaus möglich sind", erklären die IT-Forscher.

"Angreifer können die Schwachstelle ausnutzen, um beliebigen Code im Kontext des aktuellen Prozesses auszuführen", erörtert das ZDI-Team weiter (CVE-2025-1240, CVSS 7.8, Risiko "hoch"). Entdeckt wurde die Lücke demnach im vergangenen September. Die Sicherheitsmitteilung mit einem CVE-Eintrag erfolgte jetzt vor wenigen Tagen.

Winzip 29.0 enthält die Schwachstelle nicht mehr. In den Release-Notes erwähnen die Entwickler jedoch keine Sicherheitskorrekturen. Allerdings nennen sie aktualisierte RAR- und 7-Zip-Bibliotheken für die Version 29.

Google will seinen Safe-Browsing-Ansatz zum sichereren Abruf von Websites und Downloads verbessern. Dabei soll die Analyse von Bedrohungen aus dem Internet nun auf KI-Basis mittels Large Language Model (LLM) Nutzer noch effektiver warnen.

Anzeige

Die Ende vergangenen Jahres bekannt gewordene Erweiterung des Schutzes ist inzwischen live. Wer das Sicherheitsfeature im Webbrowser nutzen möchte, muss es aber manuell aktivieren.

Der Safe-Browsing-Ansatz analysiert unter anderem betrügerische Websites und warnt Nutzer vor dem Besuch, dass Cyberkriminelle auf solchen Seiten persönliche Daten kopieren können. Google gibt an, dass die KI-basierte Variante unter anderem die Erkennungsrate verbessern soll.

Unter macOS konnten wir den neuen KI-Schutz mit Chrome 133.0.6943.99 aktivieren.