Comretix Blog

Seit vergangener Woche setzen neue Snapshots der Rolling-Release-Linux-Distribution openSUSE Tumbleweed ab Werk auf den Zugriffsschutz durch SELinux. Standardmäßig kommt als Mandatory Access Control (MAC) die Voreinstellung auf SELinux zum Zuge und löst damit AppArmor ab.

Anzeige

Das hat SUSE jüngst auf der hauseigenen Mailingliste bekanntgegeben. Auch die openSUSE Tumbleweed "minimalVM" wird seitdem mit SELinux im Enforcing-Modus ausgliefert. AppArmor und SELinux dienen zur Härtung und zur Absicherung von Linux. Damit lassen sich fein granulierte Zugriffsrechte etwa für Programme und Dienste vergeben. Unterschiede gibt es bei beiden Systemen in Details. AppArmor kann etwa Stück für Stück und für einzelne Programme eingerichtet werden und gilt als einfach. SELinux bringt hingegen eine höhere Komplexität mit und greift zunächst vollumfänglich für alle Software, gilt dafür aber als überlegen gegenüber AppArmor.

Wer openSUSE Tumbleweed etwa mittels ISO-Image installiert, bekommt SELinux im Enforcing-Modus als Standardeinstellung im Installer angeboten. Wer lieber AppArmor nutzen möchte, kann die Auswahl manuell darauf umstellen. AppArmor wird weiterhin vom bisherigen Maintainer gepflegt, erörtert SUSE.

Bei den normalen Aktualisierungen werden bestehende Installationen nicht automatisch von AppArmor auf SELinux migriert. Interessierte können jedoch selbst Hand anlegen und auf SELinux umsteigen. SUSE stellt eine Anleitung dafür bereit. Die Änderungen haben die IT-Sicherheitsleute bei SUSE sowohl mit manueller als auch mit automatischer Umsetzung getestet. Sie erbitten jedoch Feedback, sollte es zu Problemen kommen, schreibt Cathy Hu, die als SELinux Security Engineer bei SUSE arbeitet.

Seit dem Jahr 2022 trat die Malware nicht mehr in Erscheinung, nun hat Microsofts Threat Intelligence-Team eine neue Variante der XCSSET-Malware in freier Wildbahn entdeckt. Es handelt sich um eine fortschrittliche modulare Malware, die unter macOS läuft und durch Infektion von Xcode-Projekten auf Opfer zielt.

Anzeige

Die neue Variante hätten die IT-Sicherheitsforscher bisher lediglich "in begrenzten Angriffen" gesehen, schreiben sie auf X. Die erstmals seit 2022 wieder gesehene XCSSET-Variante setzt demnach auf verbesserte Tarnmethoden, aktualisierte Einnnistmechanismen zur Erreichung von Persistenz sowie neue Infektionsstrategien.

Sowohl die Encoding-Technik als auch die Anzahl an Encoder-Iterationen zum Erstellen der Malware-Payload sind zufällig. Die alten Varianten hätten lediglich xxd (ein Programm, das einen Hexdump von übergebenen Daten erstellt) zum Kodieren verwendet, nun kennt XCSSET auch Base64. Die Modulnamen der Malware-Variante verschlüsselt sie jetzt auch, sodass es schwieriger wird, die Absicht des Moduls zu erkennen.

Zum Einnisten setzt die neue XCSSET-Version auf zwei Varianten. Zum einen kann sie eine Datei ~/.zshrc_aliases anlegen, die die Malware-Payload enthält. Durch das Ergänzen eines Befehls in ~/.zshrc startet die Malware jedes Mal, wenn eine neue Shell geöffnet wird. Zum anderen kann XCSSET ein signiertes "dockutil" vom Command-and-Control-Server herunterladen, mit dem die Dock-Einträge verwaltet werden können. XCSSET erstellt eine falsche Launchpad-App und setzt den regulären Launchpad-Pfadeintrag im Dock auf diese Datei. Die Malware wird dann bei jedem Launchpad-Start aus dem Dock gestartet, wobei sie zudem die echte Launchpad-App zur Tarnung startet.

Verschiedene Computermodelle von Dell, etwa aus der Alienware- und Inspiron-Serie, sind über eine BIOS-Schwachstelle attackierbar. Außerdem können Angreifer PCs mit der Backuplösung NetWorker attackieren. Derzeit stehen aber noch nicht alle Sicherheitsupdates zum Download bereit.

Anzeige

Wie aus einer Warnmeldung hervorgeht, müssen Angreifer zum Ausnutzen der Schwachstelle (CVE-2024-52541) bereits über hohe Nutzerrechte verfügen und lokalen Zugriff haben. Trotz dieser Hürde gilt der Bedrohungsgrad "hoch" für diese Lücke. Sind die Voraussetzungen erfüllt, können sie ihre Rechte erweitern. Die dagegen abgesicherten BIOS-Ausgaben listet Dell in der Warnmeldung auf.

An der Lücke (CVE-2025-21103 "hoch") in NetWorker können lokale Angreifer ohne Authentifizierung ansetzen und Schadcode auf Systeme schieben und ausführen. Die Ausgabe 19.10.0.7 ist dagegen gerüstet. Das Sicherheitsupdate für die Version 19.11 soll im März folgen, kündigen die Entwickler in einem Beitrag an.

Wie Attacken in beiden Fällen konkret ablaufen könnten, ist derzeit nicht bekannt. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Admins sollten mit der Installation der Sicherheitsupdates aber nicht zu lange zögern. NetWorker 19.11 bleibt vorerst verwundbar.

Valve hat ein mit Malware infiziertes Free2Play-Spiel aus seinem Steam Store entfernt. Darüber informiert die Sicherheitsfirma Kaspersky in einem aktuellen Blog-Eintrag. Das Piratenspiel "PirateFi" ist demnach in der vergangenen Woche aus dem Store geflogen, nachdem ein Nutzer Valve über einen Malware-Fund informiert hatte.

Anzeige

Ein Screenshot des inoffiziellen Steam-Trackers SteamDB zeigt eine Mail, die Valve anschließend an Spieler von "PirateFi" verschickte. Demnach waren bestimmte Builds von "PirateFi" mit der Malware infiziert. "Sie haben 'PirateFi' auf Steam gespielt, während diese Builds aktiv waren", schreibt Valve in der Mail. "Daher ist es wahrscheinlich, dass diese bösartigen Dateien auf Ihrem Computer gestartet wurden."

Betroffenen Nutzern empfiehlt Valve einen Systemscan mit einer Antivirus-Software. Zudem könne es sinnvoll sein, das System zu formatieren. Laut Kaspersky hat die eigene Antivirus-Software die Malware in "PirateFi" als Trojan.Win32.Lazzzy.gen identifiziert. Die Malware habe sich in der Datei "Howard.exe" versteckt und war programmiert, sich in den Temp-Ordner im AppData-Verzeichnis zu entpacken. Von dort könne sie Browser-Cookies stehlen und sich darüber Zugang zu den Accounts betroffener Nutzer verschaffen. Laut Kaspersky zeigen mehrere Einträge in den Steam-Foren Fälle, in denen sich Angreifer tatsächlich Zugriff auf die Konten von "PirateFi"-Spielern verschaffen konnten. Die originalen Foreneinträge sind mittlerweile aber nicht mehr verfügbar.

Wie viele Personen "PirateFi" gespielt haben, ist unklar. "PirateFi" war kein besonders populäres Spiel, die Webseite Vginsights schätzt, dass das Spiel etwa 1500 Mal heruntergeladen wurde. Gamalytic schätzt die Zahl der Downloads auf 860. Der Tracker von SteamDB zeigt, dass "PirateFi" von maximal fünf Personen gleichzeitig gespielt wurde. In jedem Fall dürfte die Zahl der betroffenen Nutzer sehr gering ausfallen. Das Entwicklungsstudio hinter dem Spiel ist unbekannt.

Auch wenn sich die deutsche Umsetzung der europäischen NIS2-Regulierung zur Erhöhung der Cybersicherheit 2024 aufgrund der Neuwahlen verspätet: Die europäischen Vorgaben und der aktuelle Entwurf des deutschen NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes zeigen klar, was auf Unternehmen zukommt. Allein in Deutschland sind rund 30.000 Unternehmen direkt von NIS2 betroffen, aber ebenfalls deren IT-Dienstleister und -Lieferanten – denn NIS2 macht auch Vorgaben für die Absicherung der Lieferkette.

Anzeige

In unserer Onlinekonferenz NIS2 – Was jetzt zu tun ist erläutern renommierte IT-Recht- und Cybersicherheitsexperten und -expertinnen wie Prof. Dennis-Kenji Kipker, Manuel Atug und Christina Kiefer,

Die Onlinekonferenz NIS2 – Was jetzt zu tun ist liefert Ihnen kompakt an einem Tag das Know-how, um die Umsetzung der NIS2-Regulierung in Ihrem Unternehmen effizient anzugehen. Bei Buchung bis zum 28.2. erhalten Sie einen Frühbucherrabatt von 20 Prozent.

In den Multifunktionsdruckern von Xerox der Phaser-, Versalink- und WorkCentre-Baureihen haben IT-Sicherheitsforscher Sicherheitslücken entdeckt. Angreifer können dadurch Zugangsdaten ausspähen und abgreifen und sich etwa im Netzwerk einnisten.

Anzeige

Die Schwachstellen haben Mitarbeiter des IT-Sicherheitsunternehmens Rapid7 aufgespürt, wie sie in einem Blog-Beitrag erklären. Demnach sind die Drucker für sogenannte Pass-Back-Angriffe anfällig, bei denen Angreifer die Log-in-Daten verwundbarer Drucker abgreifen können, nachdem sie die Einstellungen am Gerät manipuliert haben. Das gelinge oft, da die Standard-Passwörter in den Druckern meist nicht geändert werden, schreiben die Autoren der Erklärung solch einer Attacke.

Mit dem Zugriff auf das Adressbuch können Angreifer SMB- und FTP-Einstellungen ändern, die Ausgabe von gescannten Dokumenten umleiten und Zugangsdaten abgreifen, ist der Schwachstellenbeschreibung zu entnehmen (CVE-2024-12511, CVSS 7.6, Risiko "hoch"). Dazu muss die Scan-Funktion aktiviert sein und der Druckerzugriff etwa aus dem Intranet möglich sein. Die zweite Lücke können Angreifer durch Zugriff auf die LDAP-Einstellungen missbrauchen, lautet die Beschreibung, und dort die Authentifizierung auf einen anderen Server umleiten. Dadurch können sie Zugangsdaten erlangen, sofern sie Admin-Zugang und ein aktives LDAP-Setup haben (CVE-2024-12510, CVSS 6.7, mittel).

Rapid7 erläutert die vorgefundenen Sicherheitslücken detailliert. Xerox hat mit einer eigenen Sicherheitsmitteilung reagiert und nennt darin aktualisierte Systemsoftware für die betroffenen Geräte. Verwundbar sind demnach Xerox Phaser 6510, VersaLink B400/C400/B405/C405, B600/B610, B605/B615, C500/C505/C600/C605, C7000, C7020/C7025/C7030, B7025/B7030/B7035, B7125/B7130/B7135, C7120/C7125/C7130, C8000/C9000, C8000W sowie WorkCentre 6515. Die einzelnen Firmware-Updates haben die Autoren in der Tabelle des Xerox-Dokuments verlinkt. IT-Verantwortliche sollten die Aktualisierung zügig vornehmen und unbedingt die Standard-Zugangsdaten der Geräte durch individuelle ersetzen, sofern das noch nicht geschehen ist.

Das Active Directory ist das Herzstück vieler Unternehmensnetzwerke und stellt daher ein attraktives Ziel für Cyberangriffe dar.

Anzeige

In dem Workshop Active Directory Hardening - Vom Audit zur sicheren Umgebung erwerben Sie umfangreiches Wissen und praktische Fähigkeiten zur Absicherung Ihres Active Directory. Sie lernen, Sicherheitsrisiken zu erkennen, Fehlkonfigurationen zu beheben und Angriffe zu identifizieren und abzuwehren. Hierzu gehören der sichere Umgang mit Authentifizierungsprotokollen sowie die Implementierung von Schutzmaßnahmen wie AppLocker und der Local Administrator Password Solution (LAPS). Zudem kommen Audit-Tools wie PingCastle sowie offensive Werkzeuge wie PowerView und Bloodhound zum Einsatz.

Der Workshop beinhaltet zahlreiche technische Hands-on-Übungen, in denen Sie praxisnah in einer bereitgestellten Übungsumgebung verschiedene Fehlkonfigurationen und Schwachstellen in einem Active Directory selbst auditieren und anschließend entsprechende Schutzmaßnahmen implementieren. Dazu gehören der Umgang mit Authentifizierungsprotokollen, das Erkennen und Schließen von Sicherheitslücken sowie der Einsatz von Tools zur Überprüfung von Einstellungen und die Implementierung von Schutzmaßnahmen wie AppLocker, LAPS und dem Least-Privilege-Prinzip.

Dieser Online-Workshop richtet sich an Administratoren, die sich intensiver mit Angriffen beschäftigen und Ihr On-Premise-Active-Directory härten wollen. In einer kleinen Gruppe von maximal 10 Teilnehmern haben Sie ausreichend Gelegenheit für intensiven Austausch mit dem Trainer und den anderen Teilnehmenden.

Wearables, die sich auch für medizinische Zwecke wie das Messen von Körperfunktionen nutzen lassen, weisen vielfach erhebliche Lücken bei der IT-Sicherheit und beim Schutz der übermittelten Gesundheitsdaten auf. Das geht aus dem Abschlussbericht zum Projekt "Sicherheit von Wearables mit medizinischen Teilfunktionalitäten" (SiWamed) des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor. Den Ergebnissen zufolge sind viele der getesteten Geräte offen für Angriffe. Schwachstellen in der Verschlüsselung, unzureichend gesicherte Kommunikationskanäle und mangelhafte Authentifizierungsmechanismen können es Übeltätern ermöglichen, sensible Informationen abzufangen oder zu manipulieren.

Anzeige

Zugleich wächst der Markt für solche Health-Wearables laut der Studie rapide, wodurch das Risiko für sicherheitsrelevante Vorfälle steigt. Die Analyse führten die Cybersicherheitsfirma eShard und der Entwicklungsservice Eesy-Innovation im BSI-Auftrag durch. Die erste Fassung des Berichts lag der Behörde schon Ende November 2023 vor, sie hat sie aber erst jetzt veröffentlicht. Die Experten wählten demnach zehn Produkte für "eine detaillierte Sicherheitsuntersuchung" aus. Darunter waren sechs vernetzte Uhren wie Smartwatches, drei Fitness-Tracker und ein Smart Ring. Die Forscher deckten dabei insgesamt 110 Schwachstellen auf, die sie als "mittel" oder "hoch" einstuften. Keines der Geräte war komplett frei von Sicherheitslücken.

Die am häufigsten gefundenen Schwachstellen betreffen die Benutzerauthentifizierung und die Bluetooth-Kommunikation. Bei vielen Geräten werde nicht einmal eine PIN abgefragt, monieren die Tester. Werde geprüft, ob ein berechtigter Anwender Zugang erhalte, gebe es oft Schwächen in der Implementierung. Sieben der acht als "hoch" eingestuften Schwachstellen betrafen das Bluetooth-Protokoll, das als Hauptkanal für die Verbindung des tragbaren Geräts mit der mobilen Anwendung dient. Die meisten der getesteten Apps verfügten zudem über keinerlei Mechanismen zum Anti-Debugging oder zum Erkennen von Rooting. Solche Verfahren könnten zumindest helfen, fortgeschrittene Angreifer abzuwehren und die Daten der Nutzer zu schützen, wenn die Plattform kompromittiert oder die mobile Anwendung angegriffen wird.

Aufgrund der Lücken war es den Forschern teils möglich, die Firmware während des Aktualisierungsprozesses abzuhören. Diese hätte im Anschluss von einem Angreifer analysiert und manipuliert werden können, wenn sie nicht ordnungsgemäß etwa durch Signaturen oder Prüfungen auf Informationslecks geschützt ist. Die Tester stellten auch fest, dass einige Schwachstellen aufgrund der Nutzung einheitlicher Betriebssysteme, Software und gemeinsamer Infrastrukturen immer wieder auftraten. Dies erhöhe die Gefahr "groß angelegter Angriffe auf viele Geräte gleichzeitig". Generell würfen die Resultate in Anbetracht der Sensibilität der verarbeiteten Daten "Fragen und Bedenken auf".

In Broadcoms Brocade SANnav klaffen Sicherheitslücken, durch die Angreifer unbefugt an Zugangsdaten gelangen oder diverse Attacken ausführen können. Aktualisierte Softwarepakete sollen die Schwachstellen ausbessern.

Anzeige

Insgesamt vor fünf Sicherheitslücken in der Storage-Area-Network-Verwaltungssoftware hat Broadcom nun gewarnt. Am schwerwiegendsten stufen die Entwickler eine Lücke ein, durch die Brocade SANnav bei bestimmten Fehlern während der Installation oder eines Upgrades die Verschlüsselungs-Keys in einen Brocade SANnav Supportsave speichert. Angreifer mit erhöhten Rechten zum Zugriff auf die Brocade-Datenbank können diesen Verschlüsselungs-Key nutzen, um an Passwörter zu gelangen, die SANnav einsetzt.

Der Docker-Daemon in Brocade SANnav läuft ohne sogenanntes Auditing. Das ermöglicht angemeldeten Angreifern aus dem Netz, diverse Attacken auszuführen. Ursache dafür ist, dass Dokcer-Operationen mit erhöhten Rechten und mit unbeschränktem Zugriff im Host-System erfolgen.

Weiterhin ist die Verschlüsselung für SSH auf Port 22 unsicher: Brocade SANnav aktiviert veraltete SHA1-Einstellungen für den Fernzugriff. Das macht die Verschlüsselung für Kollisionsattacken anfällig.

Im Packprogramm Winzip haben IT-Sicherheitsforscher eine Sicherheitslücke entdeckt. Sie ermöglicht Angreifern, Opfern mit manipulierten Archiven Schadcode unterzujubeln. Beim Öffnen einer bösartigen Webseite oder eines sorgsam präparierten Archivs mit Winzip können Angreifer aus dem Netz so beliebigen Code ausführen.

Anzeige

Die IT-Forscher von Trend Micros Zero-Day-Initiative (ZDI) haben die Lücke aufgespürt und eine Sicherheitsmitteilung dazu veröffentlicht. Das Problem besteht beim Verarbeiten von 7-Zip-Dateien (7z). "Das Problem resultiert aus mangelnder Überprüfung von Nutzer-übergebenen Daten, wodurch Schreibzugriffe über die Grenzen eines allokierten Speicherbereichs hinaus möglich sind", erklären die IT-Forscher.

"Angreifer können die Schwachstelle ausnutzen, um beliebigen Code im Kontext des aktuellen Prozesses auszuführen", erörtert das ZDI-Team weiter (CVE-2025-1240, CVSS 7.8, Risiko "hoch"). Entdeckt wurde die Lücke demnach im vergangenen September. Die Sicherheitsmitteilung mit einem CVE-Eintrag erfolgte jetzt vor wenigen Tagen.

Winzip 29.0 enthält die Schwachstelle nicht mehr. In den Release-Notes erwähnen die Entwickler jedoch keine Sicherheitskorrekturen. Allerdings nennen sie aktualisierte RAR- und 7-Zip-Bibliotheken für die Version 29.

Google will seinen Safe-Browsing-Ansatz zum sichereren Abruf von Websites und Downloads verbessern. Dabei soll die Analyse von Bedrohungen aus dem Internet nun auf KI-Basis mittels Large Language Model (LLM) Nutzer noch effektiver warnen.

Anzeige

Die Ende vergangenen Jahres bekannt gewordene Erweiterung des Schutzes ist inzwischen live. Wer das Sicherheitsfeature im Webbrowser nutzen möchte, muss es aber manuell aktivieren.

Der Safe-Browsing-Ansatz analysiert unter anderem betrügerische Websites und warnt Nutzer vor dem Besuch, dass Cyberkriminelle auf solchen Seiten persönliche Daten kopieren können. Google gibt an, dass die KI-basierte Variante unter anderem die Erkennungsrate verbessern soll.

Unter macOS konnten wir den neuen KI-Schutz mit Chrome 133.0.6943.99 aktivieren.

Mittels Mobile Device Management (MDM) können Administratoren Apple-Geräte weitgehend einrichten und steuern. Darunter fallen auch eine Reihe von Funktionen, die eigentlich der Sicherheit dienen, wie sich Apples MDM-Doku entnehmen lässt. Dennoch sollten sich IT-Abteilungen und andere MDM-Verantwortliche genau überlegen, ob sie entsprechende Einstellungen vornehmen. Eine besonders wichtige ist der sogenannte USB-Restricted-Mode. Denn auch dieser kann von Admins auf Wunsch mittels MDM-Einstellungen abgeschaltet werden.

Anzeige

Eigentlich fragen sowohl der Mac als auch ein iPhone oder ein iPad nach, wenn ein USB-C-Gerät eingesteckt wird. Das ist wichtig, weil es verschiedene Angriffsmethoden gibt, die kabelgebunden arbeiten. Das beginnt bei Hacking-"Spielzeugen" wie Rubber Ducky oder dem Flipper Zero und endet mit professionellen Öffnungswerkzeugen, die Polizeibehörden und Geheimdienste verwenden. Entsprechend wichtig sind diese Nachfragen, dass sie eine Geräteverbindung verhindern, über die dann Angriffe erfolgen könnten. Zwar nerven die Prompts viele User, sie dienen aber der Sicherheit.

Wie Apples Dokumentation zu entnehmen ist, dürfen Admins auf Macs nun aber das sogenannte "allowUSBRestrictedMode"-Flag setzen. Es verhindert, dass die Nachfrage überhaupt kommt. Sinn der Sache sei es, dass es in "manchen Umgebungen" notwendig sei, dies zu erlauben, so Apple. Zwar können Nutzer dies grundsätzlich selbst vornehmen, doch müssten sie sich dazu in die Tiefen der Systemeinstellungen begeben, was die wenigsten tun dürften.

Bei iPhones und iPads können Admins wiederum das sogenannte Host-Pairing kontrollieren. Auch hier sollte man äußerst vorsichtig sein. Die Restriktionseinstellung "Allow pairing with non-Apple Configurator hosts" macht es möglich, das Gerät mit potenziell problematischen anderen Maschinen zu verbinden. Apple empfiehlt, dies zu verbieten, damit sichergestellt ist, dass sich ein Firmengerät nicht mit problematischen anderen Geräten verbindet.

Zahlreiche HP-Laserdrucker sind von Schwachstellen betroffen, durch die Angreifer Schadcode einschleusen und ausführen können. Der Hersteller stellt aktualisierte Firmware zum Schließen der Sicherheitslücken bereit. IT-Verantwortliche sollten sie rasch installieren.

Anzeige

In einer Sicherheitsmitteilung warnt HP vor den Sicherheitslücken. Bei den Details gibt sich HP zugeknöpft: "Bestimmte HP Laserjet Pro-, Laserjet Enterprise- und HP Laserjet Managed-Drucker könnten möglicherweise anfällig für Codeschmuggel aus dem Netz und die Ausweitung der Rechte beim Verarbeiten eines Postscript-Druckauftrags sein", lautet die beschwichtigende Zusammenfassung. Weitere Details sind jedoch Fehlanzeige.

Insgesamt handelt es sich um ein Bündel von drei Sicherheitslücken, die sich die Beschreibung teilen. CVE-2025-26506 erhält die CVSS-Bewertung 9.2 und stellt somit ein kritisches Risiko dar, CVE-2025-26508 gilt hingegen mit CVSS 8.3 als hoher Bedrohungsgrad. Die dritte Schwachstelle CVE-2025-26507 bewerten die Entwickler mit CVSS 6.3 als mittleres Risiko.

Die Anzahl der betroffenen Druckermodelle geht in die Hunderte, allein die Auflistung der teils zusammengefassten Baureihen addiert sich auf 120 Geräte-Serien. Sie alle aufzulisten, würde den Rahmen der Meldung sprengen, daher sei auf die Auflistung in der Sicherheitsmitteilung verwiesen. Admins sollten nachsehen, ob verwundbare Modelle in ihren Netzen arbeiten und die bereitstehenden Firmware-Updates zeitnah herunterladen und installieren.

In mehreren Produkten werden Angriffe auf Sicherheitslücken beobachtet. Betroffen sind Apples iOS, iPadOS, Mitels SIP-Phones und Palo Altos PAN-OS. Zum Schließen der Lücken stehen Updates bereit, die IT-Verantwortliche zügig installieren sollten.

Anzeige

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt etwa vor Cyber-Attacken auf Schwachstellen in iOS und iPadOS (CVE-2025-24200). Angreifer mit physischem Zugriff können sich Zugriff verschaffen, indem sie die Lücke im Accessibility-Modul für Barrierefreiheit zum Aufheben des eingeschränkten USB-Zugriffs missbrauchen – die Lücke hat Apple in der vergangenen Woche mit iOS und iPadOS 18.3.1 sowie 17.7.5 gestopft.

Ende Januar wurden zudem Angriffe auf eine Sicherheitslücke in SIP-Phones von Mitel bekannt. Das Mirai-Botnet nistet sich in verwundbare Geräte ein. Die Lücke CVE-2024-41710 wurde bereits im August 2024 bekannt, vor der nun auch die CISA warnt, Admins sollten die Aktualisierungen nun rasch nachholen. Bei beiden angegriffenen Lücken nennt die CISA wie üblich keine Details, die wurden aber dieses Mal auf anderen Wegen zuvor bekannt.

Gegen Ende der vergangenen Woche wurden zudem Schwachstellen in Palo Altos Firewall-Betriebssystem PAN-OS bekannt. Für die gravierendste Sicherheitslücke CVE-2025-0108 stand bereits Exploit-Code zur Verfügung.

Die Staatsregierung in Bayern ist Ziel eines Cyberangriffs geworden. Man gehe mit hoher Sicherheit davon aus, dass die Attacke im Zusammenhang mit "prorussischem Hacktivismus" stehe, teilte das Landesamt für Sicherheit in der Informationstechnik am Sonntagabend auf Nachfrage mit.

Anzeige

Betroffen gewesen seien am Freitag die Staatskanzlei und das Staatsministerium für Digitales. Es sei aber kein Schaden entstanden und es seien auch keine Daten oder Informationen abgeflossen oder verschlüsselt worden. Die betroffenen Webseiten seien lediglich vorübergehend nicht erreichbar gewesen.

Vom Landeskriminalamt in Bayern hieß es, es könnte nicht beurteilt werden, ob der Angriff im Zusammenhang mit der Münchner Sicherheitskonferenz gestanden habe. Die Ermittlungen liefen. Der Bayerische Rundfunk hatte zuvor über den Angriff berichtet.

Das Landesamt für Sicherheit in der Informationstechnik erklärte, es habe sich um einen Distributed Denial-of-Service-Angriff (DDoS) gehandelt. Der Vorgang werde nach abgeschlossener Analyse zur Strafverfolgung an die Polizei übergeben.

Die südkoreanische Regierung hat die Benutzung der chinesischen KI-Anwendung DeepSeek verboten. Sie begründet den Schritt mit einem unzureichenden Datenschutz. Das berichtet die Nachrichtenagentur Yonhap unter Berufung auf die Kommission für den Schutz personenbezogener Daten (PIPC). Das am Wochenende verhängte Verbot werde erst aufgehoben, wenn "Verbesserungen und Abhilfemaßnahmen" umgesetzt werden, die dafür sorgen, dass Südkoreas Datenschutzgesetzen entsprochen werde. Vorher hätten schon mehrere Ministerien und Regierungsbehörden den Zugriff auf die KI-Anwendung gesperrt und das mit der Datensammlung begründet.

Anzeige

Südkorea ist mit den Bedenken nicht allein. Derart weitgehende Konsequenzen wurden aber bislang lediglich in Italien gezogen. Auch in Deutschland haben Behörden und IT-Sicherheitsfachleute aber gravierende Sicherheitsbedenken gegen DeepSeek angemeldet. Kritisiert wird auch hierzulande die offenkundig sehr weitreichende Speicherung von Nutzerdaten. Aber auch die mögliche Manipulierbarkeit der Anwendung für kriminelle Zwecke und die Frage, inwieweit der chinesische Spionage- und Überwachungsapparat Zugriff auf Nutzerdaten hat, treffen auf Vorbehalte. In Deutschland wird deshalb unter anderem in Rheinland-Pfalz ein Prüfverfahren vorbereitet, DeepSeek hat bislang keinen EU-Vertreter benannt.

Laut Yonhap hat Südkoreas Datenschutzkommission bereits im Januar eine Anfrage an DeepSeek übermittelt, um Klarheit über die Sammlung und Speicherung von Daten zu erhalten. Hierzulande hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) darauf hingewiesen, dass DeepSeek nach eigenen Angaben "Tastatureingabemuster oder -rhythmen" erfasst. Damit sollen Nutzer und Nutzerinnen identifiziert werden können. Womöglich lassen sich Tastatureingaben aber innerhalb der App mitlesen, noch bevor sie abgeschickt werden. Zwar handle es sich nicht um einen Keylogger, trotzdem sei das Verhalten "mindestens für sicherheitskritische Bereiche bedenklich".

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Offensichtlich kam es bei Zacks erneut zu einem IT-Sicherheitsvorfall, bei dem Angreifer Zugriff auf Kundendaten hatten: In einem Untergrundforum wurde ein Datenpaket mit 12 Millionen Einträgen zu Zacks-Nutzern veröffentlicht. In dem Forum werden regelmäßig aus Cyberattacken stammende Datenpakete zum Verkauf angeboten.

Anzeige

Zacks ist ein Onlinetool, um unter anderem den Verlauf von Aktienkursen zu visualisieren. Über das Datenleak berichten Sicherheitsforscher von Malwarebytes. Dem Bericht zufolge soll das Datenpaket aus einer Cyberattacke im Juni 2024 stammen. Darin seien unter anderem Datenbankeinträge und Sourcecode der Zacks-Website und weiteren firmeninternen Seiten zu finden.

Weiterhin gibt es den Forschern Einträge mit persönlichen Daten von 12 Millionen Zacks-Kunden. Darunter fallen etwa E-Mail-Adressen, Namen und Telefonnummern. In den Einträgen sollen sich auch geschützte Passwörter (unsalted SHA-256-Hash) finden. Damit können Kriminelle also nicht ohne Weiteres etwas anfangen.

Als Beweis hat der Leaker mit dem Pseudonym Jurak Ausschnitte aus dem Archiv veröffentlicht. Sicherheitsforscher gehen derzeit davon aus, dass die Daten echt sind. Er gibt an, dass er sich als Domainadmin Zugriff auf das Active Directory von Zacks verschaffen konnte. Wie die Attacke ablief, ist bislang unklar. Auf der Website Have I Been Pnwed kann man prüfen, ob man von dem Datenleak betroffen ist.