Comretix Blog

Angreifer können Sophos-Firewalls ins Visier nehmen und Geräte nach dem Ausführen von Schadcode kompromittieren. Das Unternehmen gibt an, dass davon aber nur ein Bruchteil der Kunden bedroht ist.

Anzeige

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler insgesamt drei Sicherheitslücken (CVE-2024-12727 "kritisch", CVE-2024-12728 "kritisch", CVE-2024-12729 "hoch") geschlossen. Für die erste Schwachstelle sind Sophos zufolge ausschließlich Geräte anfällig, wenn eine spezielle Konfiguration von Secure PDF Xchange (SPX) aktiv ist. Außerdem muss die Firewall im High-Availability (HA)-Modus laufen. Das sei nur bei etwa 0,05 Prozent der Geräte der Fall. Sind die Voraussetzungen erfüllt, können Angreifer aus der Ferne Schadcode ausführen.

Die zweite Lücke ist nur bedrohlich, wenn SSH und HA aktiv sind. Das sei bei rund 0,5 Prozent der Geräte der Fall. Dann könnten Angreifer unter Umständen auf einen Nutzeraccount mit hohen Rechten zugreifen. Über die dritte Lücke kann Schadcode auf Geräte gelangen. Dafür muss ein Angreifer aber authentifiziert sein.

Gefährdet sind Firewalls bis inklusive v21.0 GA. Sophos gibt an, erste Hotfixes Ende November 2024 veröffentlicht zu haben. Standardmäßig sind die Firewalls so eingestellt, dass diese sich automatisch installieren. In einem Beitrag führen die Entwickler aus, wie Admins prüfen können, ob die Hotfixes bereits installiert sind.

Einen weiteren Erfolg im Kampf gegen die Ransomware-Bande LockBit hat das US-Justizministerium am Freitag verkündet. Es hat demnach den russisch-israelischen Staatsbürger Rostislaw P. jüngst in Gewahrsam nehmen lassen können und jetzt wegen seiner mutmaßlichen Rolle als einer der maßgeblichen Software-Entwickler der Cybergang angeklagt. US-Strafverfolger werfen ihm vor, Schadsoftware entwickelt und die Infrastruktur für Angriffe gewartet zu haben. Darüber seien mehr als 500 Millionen US-Dollar erpresst und weltweit Schäden in Milliardenhöhe verursacht worden.

Anzeige

Eine einschlägige im Bundesbezirk New Jersey eingereichte Strafanzeige sei am Freitag freigegeben worden, teilte das Justizressort mit. Schon im August sei P. in Israel aufgrund eines vorläufigen US-Haftersuchens mit dem Ziel der Auslieferung an die Vereinigten Staaten festgenommen worden. Der 51-Jährige befinde sich derzeit noch in Israel in Haft und warte auf seine Auslieferung aufgrund der Anklagepunkte.

Laut der Klageschrift, den in diesem und verwandten Fällen eingereichten Dokumenten und den vor Gericht abgegebenen Aussagen fungierte P. von der Gründung der LockBit-Gruppe 2019 bis mindestens Februar 2024 als Entwickler. In dieser Zeit bauten P. und seine "Mitverschwörer" ihre Bande "zu der zeitweise aktivsten und zerstörerischsten Ransomware-Gruppe der Welt aus", schreiben die US-Strafverfolger. Diese habe über 2500 Opfer in mindestens 120 Ländern angegriffen, darunter 1800 in den Vereinigten Staaten. Darunter seien Privatpersonen und kleine Unternehmen ebenso gewesen wie multinationale Konzerne, Krankenhäuser, Schulen, gemeinnützige Organisationen, kritische Infrastrukturen sowie Regierungs- und Strafverfolgungsbehörden.

Ermittler entdeckten laut der Anklage zum Zeitpunkt der Verhaftung von P. auf dessen Computer Administratoranmeldeinformationen für eine Online-Datenbank, die im Darknet gehostet worden sei und Quellcode für mehrere Versionen des LockBit-Builders zum Erstellen von Varianten des Erpressungstrojaners enthielt. In einem der Verzeichnisse fanden die Strafverfolger auch Quellcode für LockBits StealBit-Tool, mit dem "Affiliates" gestohlene Daten exfiltrieren konnten.

Künstliche Intelligenz hilft der Juristerei, schneller und effizienter zu arbeiten. Das berichtet der Berliner Rechtsanwalt und Strafverteidiger Florian Schoenrock im Gespräch mit dem Podcast heise meets. Schoenrock ist einer der ersten Anwälte in Deutschland, der zugibt, KI regelmäßig in seiner täglichen Arbeit einzusetzen.

Anzeige

"Ob ich einer der ersten Anwälte bin, der künstliche Intelligenz im Alltag einsetzt, das weiß ich nicht. Ich bin auf jeden Fall einer, der es gerne macht", sagt Schoenrock. Seit Anfang 2023 nutzt er KI-Tools, um seine Arbeit zu erleichtern. Damit spare er täglich zwischen 30 und 60 Minuten Zeit ein.

Admins, die Netzwerke mit Fortinet Wireless Manager (FortiWLM) verwalten, sollten sicherstellen, dass ihre Instanzen aktuell und somit gegen mögliche Attacken abgesichert sind. Ein Sicherheitsforscher von Horizon3 hat bereits im Mai 2023 eine Sicherheitslücke an Fortinet gemeldet. Der Sicherheitspatch erschien dann im September 2023. Doch Informationen, dass es den Patch und die Lücke überhaupt gibt, sind erst jetzt bekanntgeworden.

Anzeige

In einem Beitrag aus März dieses Jahres schreibt der Sicherheitsforscher unter anderem über die "kritische" Lücke (CVE-2023-34990). Zu diesem Zeitpunkt gab es aber noch keine CVE-Nummer.

Weil Eingaben nicht ausreichend überprüft werden, können Angreifer ohne Authentifizierung mit bestimmten Anfragen an der Schwachstelle ansetzen. Klappt so eine Attacke, sind Logs einsehbar, die Admin-Session-IDs enthalten können. Damit ausgestattet sind Angreifer in der Lage, die volle Kontrolle über Geräte zu erlangen.

In einer Warnmeldung gibt Fortinet nun an, dass davon die Versionen 8.5.0 bis einschließlich 8.5.4 und 8.6.0 bis einschließlich 8.6.5 bedroht sind. Sie versichern, die im September 2023 erschienenen Ausgaben 8.5.5 und 8.6.6 abgesichert zu haben.

Microsoft bemüht sich redlich, die Sicherheit der Betriebssysteme zu verbessern. Kürzlich hat das Unternehmen einen besseren Schutz vor NTLM-Relay-Angriffen umgesetzt. Weitgehend unbeachtet blieb jedoch eine Schutzmaßnahme: Die Unterstützung für NTLMv1 wurde aus Windows 11 mit dem 24H2-Update entfernt.

Anzeige

Auf Nachfrage von heise online hat Microsoft nun etwa die Liste der entfernten Funktionen aus Windows aktualisiert. Denn nicht nur im Windows-Desktop-Client, sondern auch dem Windows Server 2025 hat Microsoft den Support für das veraltete Protokoll entfernt. Auch in der Liste der entfernten Funktionen zum Windows Server 2025 ist nun ein entsprechender Eintrag ergänzt worden.

Da die Redmonder bislang lediglich offiziell die Entfernung aus Windows 11 beschrieben hat, haben wir das Unternehmen zum Status beim Windows Server 2025 befragt. "NTLMv1 wurde sowohl aus Server 2025 als auch Windows 11 Version 24H2 entfernt. Mehr Details finden sich auf den aktualisierten Webseiten auf Englisch", antwortete Microsoft am Freitag dieser Woche. "Wir arbeiten daran, die Dokumentation in den anderen Sprachen zu aktualisieren, um diese Updates widerzuspiegeln", führte das Unternehmen weiter aus.

Der Eintrag von Windows Server 2025 zum entfernten NTLMv1 gibt Admins noch eine Empfehlung mit: "NTLMv1 wurde entfernt. Aufrufe an NTLM sollten durch Aufrufe an Negotiate ersetzt werden, die zuerst versuchen, sich mit Kerberos zu authentifizieren und nur auf NTLM zurückfällt, wenn das nötig ist. Weitere Informationen liefert der Artikel Evolution of Windows Authentication".

Cyberattacke oder IT-Störung? Die Ransomwaregang BlackBasta gibt an, Zugriff auf interne Daten des Anbieters Medion gehabt zu haben. Das Unternehmen hat das bislang nicht bestätigt.

Anzeige

Ende November 2024 kam es bei Medion zu Störungen. Unter anderem war die Website nicht erreichbar und es gab Probleme mit E-Mails und Telefonen. Davon sollen interne Systeme und der Onlineshop betroffen gewesen sein. Auf der mittlerweile wieder aufrufbaren Internetseite werden nicht näher ausgeführte IT-Störungen als Grund angegeben. Am 28. November war dort noch die Rede von einem durch externe Angreifer ausgelösten IT-Vorfall. Die Antwort auf eine Anfrage von heise Security steht derzeit noch aus.

Screenshot vom Leakingportal von BlackBasta: Bislang hat Medion keine Cyberattacke bestätigt.

Nun mehren sich die Hinweise auf eine Cyberattacke: Die Kriminellen des Erpressungstrojaners BlackBasta geben an, Medion erfolgreich attackiert und 1,5 Terabyte an Daten kopiert zu haben. Darunter sollen sich unter anderem vertrauliche Geschäftsdaten und Informationen zu Angestellten befinden.

Angreifer können die Fernzugriffssoftwares Privileged Remote Access (PRA) und Remote Support (RS) von BeyondTrust attackieren und eigene Befehle im zugrundeliegenden Betriebssystem ausführen.

Anzeige

Aufgrund der "kritischen" Einstufung der Sicherheitslücke (CVE-2024-12356) ist davon auszugehen, dass Systeme nach erfolgreichen Attacken als vollständig kompromittiert gelten. Angriffe sollen einer Warnmeldung zufolge aus der Ferne und ohne Authentifizierung möglich sein.

Das Einleiten von Attacken soll über bestimmte Clientanfragen möglich sein. Wie das im Detail aussehen könnte, geht aus der Meldung nicht hervor. Bislang gibt es noch keine Meldungen zu laufenden Attacken.

Die Entwickler versichern, die Lücke in den Ausgaben PRA patch BT24-10-ONPREM1 oder BT24-10-ONPREM2 und RS patch BT24-10-ONPREM1 oder BT24-10-ONPREM2 geschlossen zu haben. Wer noch eine Version vor 22.1 nutzt, muss ein Upgrade durchführen, um das Sicherheitsupdate zu bekommen. Cloudinstanzen wurden BeyondTrust zufolge bereits automatisch auf den aktuellen Stand gebracht.

Hohe Bankspesen veranlassen einen ausländischen Lieferanten dazu, das Geldinstitut zu wechseln. Er informiert seinen Kunden per E-Mail über die neue Bankverbindung, der daraufhin vier Überweisungen zu insgesamt 85.000 Euro auf das neue Konto veranlasst. Leider ist der angebliche Bankwechsel ein Trick eines Betrügers, der den Exchange-Server des Lieferanten geknackt und dann darüber E-Mails unter Missbrauch eines bekannten Absendernamens verschickt hat. Da die Banken das Geld nicht zurückholen können, wendet sich der entreicherte Zahler an seine Cyberversicherung, die er sowohl für Netzwerksicherheitsverletzungen als auch Täuschungsschäden abgeschlossen hat. Doch die Versicherung zahlt nicht.

Anzeige

Zu Recht, wie aus einer nun bekannt gewordenen Entscheidung des Landgerichts Hagen hervorgeht (Az. 9 O 258/23). Denn der beim Versicherungsnehmer eingetretene Schaden ist gar kein Versicherungsfall.

Das kommt so: Die Versicherungsbedingungen definieren Netzwerksicherheitsverletzungen als "Beeinträchtigungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse des Versicherungsnehmers." Die Täter haben allerdings beim Versicherten nichts kompromittiert, sondern den Exchange-Server eines Dritten, nämlich des Lieferanten. Zusätzlich enthalten die Versicherungsbedingungen Beispiele dafür, wann keine versicherte Netzwerksicherheitsverletzung vorliegt, darunter "Beeinträchtigungen ... in Netzwerken Dritter", selbst wenn die Auswirkungen auch beim Versicherungsnehmer auftreten, sowie "fake president Angriffe mittels nachgebildeter E-Mail-Adresse" ohne Eingriff in das Netz des Versicherungsnehmers.

"Aus diesen Regelbeispielen kann ein durchschnittlicher und verständiger Versicherungsnehmer erkennen, dass der vorliegende Fall, der zu den eben genannten Regelbeispielen Ähnlichkeiten aufweist, nicht zu den versicherten Risiken zählt", erläutert das Gericht. "Voraussetzung des Versicherungsschutzes bleibt eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer selbst, die nicht vorliegt."

Sicherheitsforscher von CheckPoint berichten, dass Cyberkriminelle verstärkt Google-Kalender-Einladungen nutzen, um Internetnutzer auf Phishingseiten zu locken: Allein über einen Zeitraum von vier Wochen gingen demnach etwa 4000 solcher Einladungen bei Mitarbeitern von rund 300 Unternehmen ein. Laut dem Start-up Calendly nutzen etwa 500 Millionen Internetnutzer Google Kalender, zudem ist dieser in 41 Sprachen verfügbar. Die Zahl der potenziellen Opfer ist dementsprechend hoch.

Anzeige

Die Angreifer modifizieren die E-Mail-Header, sodass die Phishing-Mails wie Google-Kalender-Invites von Personen wirken, die den Empfängern bekannt sind. Die Mails enthalten meist eine für Kalender-Einladungen typische .ics-Kalenderdatei mit einem Link zu einem Google-Fomular. Wenn man den Link klickt, landet man bei einer Aufforderung zum Klicken eines weiteren. Dieser zweite Phishing-Link ist allerdings als Support-Button oder reCAPTCHA getarnt. Wer darauf hereinfällt, landet schließlich auf einer Phishing-Webseite, die aussieht wie eine Bitcoin-Support- oder -Mining-Webseite, die im Rahmen eines Authentifizierungsvorgangs persönliche Daten und schließlich Zahlungsinformationen abfragt. Wer dabei immer noch nicht stutzig wird, spielt den Angreifern in die Hände.

Zum Schutz gegen derartige Phishing-Versuche empfiehlt Google, die Einstellung "bekannte Absender" zu aktivieren. Dann weist das Kalender-Tool auf Einladungen von fremden Personen hin, die nicht in der Kontaktliste stehen oder mit denen zuvor kein Mail-Kontakt bestand.

Die Verfasser des Checkpoint-Blogposts benennen neben der Empfehlung Googles noch weitere Maßnahmen, um sich vor solchen Betrugsversuchen zu schützen: Unübliche Anforderungen wie das Lösen eines reCAPTCHA seien starke Hinweise darauf, dass etwas mit einer Einladung nicht stimme. Außerdem empfehlen sie, Links nicht blind zu klicken, sondern sich die Link-Vorschau anzusehen und die in einer Mail benannte URL gegebenenfalls selbst im Browser aufzurufen.

Apex One und Apex One as a Service von Trend Micro sind unter Windows verwundbar. Eigentlich soll die Sicherheitslösung Computer schützen, nun können Angreifer aber an sechs Schwachstellen ansetzen und Systeme attackieren.

Anzeige

In einem Beitrag listen die Entwickler die gepatchten Versionen Apex One SP1 build 13140 und Apex One as a Service December 2024 Monthly Maintenance (202412) Agent version 14.0.14203 auf. Die darin geschlossenen Sicherheitslücken (CVE-2024-52048, CVE-2024-52049, CVE-2024-52050, CVE-2024-55631, CVE-2024-55632, CVE-2024-55917) sind mit dem Bedrohungsgrad "hoch" eingestuft.

Als Voraussetzungen für Attacken müssen Angreifer physisch oder aus der Ferne auf PCs zugreifen können und in der Lage sein, Code mit niedrigen Benutzerrechten auszuführen. Sind diese Bedingungen erfüllt, können sich Angreifer höhere Nutzerrechte aneignen. Detaillierte Angaben zu Abläufen solcher Attacken gibt es bislang nicht. Unbekannt ist auch, ob es bereits Attacken gibt und woran Admins attackierte Computer erkennen können.

Angreifer können Systeme, auf denen Foxit PDF Editor oder Reader installiert ist, aufgrund von Schwachstellen in der Software attackieren. Für eine erfolgreiche Attacke müssen Opfer aber mit Schadcode versehene PDF-Dateien öffnen.

Anzeige

Aus dem Sicherheitsbereich der Foxit-Website geht hervor, dass PDF-Dateien mit interaktiven Formularen nach dem XML-Forms-Architecture-Standard (XFA) manipuliert werden können. Wie das im Detail vonstattengehen kann, ist derzeit nicht bekannt.

Bringen Angreifer Opfer dazu, solch eine Datei zu öffnen, führt die Verarbeitung der XFA-Elemente zu Fehlern und Angreifer können unter anderem im System eigene Befehle ausführen. Im Rahmen dieser Problematik nennen die Entwickler keine CVE-Nummern. Demzufolge ist eine standardisierte Einstufung der Gefahr derzeit nicht möglich.

Weiterhin sind Manipulationen von PDF-Formularen mit AcroForms-Elementen vorstellbar. Das Öffnen einer solchen Datei führt zu Speicherfehlern und Abstürzen. In der Regel kann es in so einem Fall auch zur Ausführung von Schadcode kommen. Die Einstufung des Bedrohungsgrads der Lücken (CVE-2024-49576, CVE-2024-47810) steht zurzeit noch aus.

Passwort, der Podcast von heise security, legt in Folge 21 mit ZUGFeRD los, einem Standard für die E-Rechnung. ZUGFeRD-Dokumente sind eine Kombination aus PDF und XML, die Rechnungsdaten mehrfach enthalten. Praktisch, wenn man eine Rechnung inspizieren will, ohne ein Tool für das XML-Format zur Hand zu haben. Einige Podcast-Hörer sehen allerdings ein Sicherheitsproblem darin, dass die Daten in den beiden Formaten voneinander abweichen können. Die Hosts diskutieren, warum das gefährlich sein kann und was man am besten dagegen tut.

Anzeige

Synolgy hat aktualisierte Software-Pakete für den Media Server veröffentlicht. Sie schließen eine hochriskante Schwachstelle, die Angreifern das unbefugte Lesen von Dateien ermöglicht.

Anzeige

In der aktualisierten Sicherheitsmitteilung von Synology will das Unternehmen angeblich Details zur Sicherheitslücke nennen. Allerdings gehen die nicht sonderlich in die Tiefe: Eine Umgehung der Autorisierung aufgrund einer Schwachstelle durch Benutzer-kontrollierte Schlüssel im Streaming-Dienst des Synology Streaming Servers ermöglicht Angreifern, bestimmte Dateien auf nicht spezifizierten Wegen zu lesen (CVE-2024-4464, CVSS 7.5, Risiko "hoch").

Es bleibt unklar, wie genau Angriffe aussehen könnten und wie die Lücke sich genau von bösartigen Akteuren ausnutzen lässt. Es sind auch keine Indizien für einen Angriff bekannt.

Der Fehler betrifft die Synology Media Server für SRM 1.3 und für DSM 7.1 sowie 7.2. Für die stehen jeweils die Versionen 1.4-2680, 2.0.5-3152 und 2.2.0-3325 oder neuere zur Installation bereit. Der integrierte Update-Mechanismus sollte die verfügbare Aktualisierung anzeigen und je nach Einstellung bereits automatisch heruntergeladen und installiert haben. Wer Synology-Router und Synology-NAS-Systeme einsetzt, sollte sich zur Sicherheit jedoch einmal an der Web-Oberfläche der Geräte anmelden und prüfen, ob Updates bereitstehen, und diese zügig anwenden lassen.

792 Betrugsverdächtige hat die nigerianische Antikorruptionsbehörde EFCC nach eigenen Angaben auf einen Schlag verhaftet. Sie arbeiteten in einem Callcenter, das ein sieben Geschoße hohes Bürogebäude in Lagos ausfüllte. Das Callcenter soll vorzugsweise deutsche und italienische Rufnummer genutzt haben und auf das Vorgaukeln großer Liebe ("Romance Scam") spezialisiert gewesen ein. Ziel war insbesondere Anlagebetrug mit Kryptowährungen.

Anzeige

Die EFCC (Economic and Financial Crimes Commission) betont, dass die Hinterleute keine Nigerianer sind. Die Callcenter-Mitarbeiter kontaktieren Menschen in den USA, Kanada, Mexiko und diversen europäischen Ländern über Whatsapp, Instagram und Telegram. Erstes Ziel der Täter war, die Opfer in Konversationen zu verwickeln und schließlich zu romantischem Vertrauen zu verleiten. Die für Whatsapp genutzten Telefonnummern sollen vor allem aus Deutschland und Italien sein. Ohne örtliche Infrastruktur ging es natürlich nicht: "Alleine im vierten Stock haben Ermittler 500 SIM-Karten lokaler Netzbetreiber gefunden", berichtet die EFCC.

Die offenbar noch unbekannten Betreiber des Callcenters haben laut Behörde junge Menschen gesucht, die gut auf Tastaturen schreiben können. Bestanden sie den Aufnahmetest, folgte eine zwei Wochen lange Schulung. Gelehrt wurde die Kunst, sich verliebt habende ausländische Frauen zu spielen, und Opfer davon zu überzeugen, in betrügerische Systeme zu investieren. Dafür war unter www.yooto.com eine "investment shopping platform" aufgesetzt (nicht mehr online, Anmerkung), die gleich einmal 35 US-Dollar für die Anmeldung verlangte. Sie verleitete zu angeblichen Investitionen in Kryptowährungen und Unternehmen.

Der Tator und die Verdächtigen

Der im Oktober vom Bundesministerium der Justiz (BMJ) in die Ressortabstimmung gegebene Gesetzentwurf zur Modernisierung des Computerstrafrechts zielt darauf ab, IT-Sicherheitsforschern die verantwortungsvolle Identifikation und Schließung von Sicherheitslücken zu erleichtern. Dieser Ansatz geht prinzipiell in die richtige Richtung, erklären Vertreter der Zivilgesellschaft im Rahmen einer vom BMJ organisierten Verbändeanhörung. Das Vorhaben müsse aber noch an diversen Stellen verbessert und vor allem zeitnah vom Bundestag verabschiedet werden – am besten noch vor der Neuwahl im Februar. Das BMJ setzt vor allem darauf, Paragraf 202a Strafgesetzbuchs (StGB) zu entschärfen, in dem es um das Ausspähen und Abfangen von Daten sowie Vorbereitungshandlungen geht. Er führte jüngst zur Verurteilung eines Programmierers im Fall Modern Solution.

Anzeige

Die Bundesregierung sollte die verbleibende Zeit in der Legislaturperiode nutzen, um endlich die Rechtsunsicherheit in der IT-Sicherheitsforschung zu reduzieren und die Cybersicherheit in Deutschland nachhaltig zu stärken, betont Nikolas Becker, Leiter Politik & Wissenschaft bei der Gesellschaft für Informatik (GI). "Dabei wäre es wichtig, Vorbereitungshandlungen zur IT-Sicherheitsforschung klarer zu adressieren und den rechtssicheren Nachweis lauterer Absichten zu vereinfachen." In einer Stellungnahme hat die GI den Korrekturbedarf aus ihrer Sicht aufgezeigt. Für den Nachweis fehlten klare Kriterien.

Besonders umkämpft ist der eigentliche Hackerparagraf 202c StGB. Danach ist die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr zu ahnden. Die damit kriminalisierten "Hacker-Tools" dienen jedoch etwa Systemadministratoren dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Die GI kritisiert ferner – wie zuvor der Chaos Computer Club (CCC) –, dass das BMJ diesen Paragrafen unverändert lassen will.

Auch die AG Kritis, die sich mit der Sicherheit kritischer Infrastrukturen befasst, unterstreicht in ihrer Stellungnahme den dringenden Handlungsbedarf. Dieser bestehe vor allem im Interesse von Forschern, "die sich ehrenamtlich und aus gemeinnützigem Interesse für die IT-Sicherheit in Deutschland engagieren". Die Rechtsunsicherheit führe zu einem besorgniserregenden "Chilling-Effekt": "Sicherheitslücken werden aus Angst vor strafrechtlichen Konsequenzen nicht mehr gemeldet, wodurch potenzielle Gefahren für die Allgemeinheit unentdeckt bleiben." Der vom BMJ gewählte Ansatz bringe hier Verbesserungen mit sich, sei aber nicht der bestmögliche. So dürften IT-Sicherheitsforscher künftig zwar regelmäßig vor Gericht freigesprochen werden. Das Risiko einer Hausdurchsuchung, der Beschlagnahmung von Hardware sowie des Aufwands des Führens eines Prozesses bleibe aber bestehen.

Kali Linux 2024.4 ist da und bringt unter anderem 14 neue Tools mit. Damit können Pentester und Sicherheitsforscher die Sicherheit von IT-Systemen noch ausführlicher abklopfen.

Anzeige

In einem Beitrag führen die Entwickler die Neuerungen aus. Zu den neuen Tools zählen unter anderem bloodyad zum Prüfen der Anfälligkeit von Active-Directory-Umgebungen für Attacken zur Rechteerhöhung. Hexwalk dient als Hex-Editor und mssqlpwner malträtiert MSSQl-Server.

Als Python-Interpreter fungiert nun Python 3.12. Das inzwischen implementierte OpenSSH (9.8p1) verarbeitet aus Sicherheitsgründen keine DSA-Schlüssel mehr. Wer damit arbeitende SSH-Server trotzdem untersuchen will, muss ab sofort den Befehl ssh1 statt ssh nutzen.

Außerdem geben die Entwickler das Ende von 32-Bit-Images und -Kernels bekannt. Es gibt aber nach wie vor noch 32-Bit-Pakete, die man etwa über i386-Docker-Images auf 64-Bit-Systemen ausführen kann.

Nach Kritik des Bundesrechnungshofs wegen fehlender Redundanz bei "einsatzwichtigen IT-Services" der Bundeswehr teilt das Bundesministerium für Verteidigung (BMVg) mit, dass solche Redundanz ab 2026 schrittweise geschaffen werden sollen. Das BMVg prüfe regelmäßig, welche Voraussetzungen "organisatorisch, strukturell und logistisch zu schaffen sind, um die Forderung nach Resilienz und Georedundanz für IT-Projekte bedarfsgerecht und unter Beachtung von Wirtschaftlichkeitsgesichtspunkten umzusetzen", sagte eine Sprecherin des Ministeriums.

Anzeige

Der Bundesrechnungshof hatte in der vergangenen Woche bei der Bundeswehr eine Gefährdung "einsatzwichtiger IT-Services" bemängelt. Unter anderem betreibe das BMVg "ein Rechenzentrum für einsatzwichtige IT-Services lediglich an einem Standort – und damit nicht georedundant". Der Bundesrechnungshof spreche damit das Projekt "Automatisiertes Archivierungssystem im Geoinformationsdienst der Bundeswehr" an, das "technisch grundsätzlich so ausgelegt ist, dass es an zwei Standorten betrieben werden kann", erklärte die BMVg-Sprecherin auf Anfrage von heise online. "Diese Georedundanz nach den Standortkriterien für die Rechenzentren im Geschäftsbereich des BMVg soll schrittweise ab dem Jahr 2026 umgesetzt werden."

Bezüglich der Finanzierung erklärte die Behördensprecherin, dass die "Regeneration und Konsolidierung der IT im Geoinformationsdienst der Bundeswehr" ein Teilprojekt des Herkules-Folgeprojekts ist und über den Einzelplan 14 finanziert werde. Darin wird auch die Mittelverwendung des sogenannten "Sondervermögens Bundeswehr" erläutert. Konkrete Hinweise auf den Bau und Betrieb von den genannten Rechenzentren finden sich jedoch nicht – lediglich die Kosten für "Satellitenkommunikation / Rechenzentrumsverbund".

Durch eine Umsetzung des Ausbaus und die Schaffung von Redundanz ab 2026 lässt das Verteidigungsministerium jedoch auf Jahre das von Bundesrechnungshof genannte Risiko offen, dass IT-Services für Waffensysteme im Einsatzfall nicht nutzbar seien.