Comretix Blog

Die aktualisierte Version der Open-Source-Software Jenkins dichtet mehrere Sicherheitslücken ab. Diese stufen die Entwickler zum Großteil als hochriskant ein.

Anzeige

Jenkins ist ein webbasiertes Software-Entwicklungs-Tool mit zahlreichen Plug-ins, das wiederkehrende Aufgaben wie den Build-Prozess von Software automatisiert und dabei das Zusammenfassen von Funktionen mit APIs und Bibliotheken erlaubt.

In einer Sicherheitsmitteilung schreiben die Jenkins-Entwickler, dass Sicherheitslücken in insgesamt sieben Plug-ins entdeckt wurden. Davon ordnen sie sechs als hohes und eines als mittleres Risiko ein.

Die Sicherheitslücken finden sich in folgenden Plug-ins von Jenkins:

ShrinkLocker hat es auf Windows-PCs abgesehen, verschlüsselt Festplatten und erpresst Lösegeld. Nun haben Sicherheitsforscher von Bitdefender Schwachstellen in der Vorgehensweise der Ransomware entdeckt und für Opfer ein kostenloses Entschlüsselungstool veröffentlicht.

Anzeige

Wie aus einer Analyse der Sicherheitsforscher hervorgeht, nutzt der PC-Schädling keinen Verschlüsselungsalgorithmus, sondern Microsofts legitimes Windows-Sicherheitsfeature Bitlocker, das Festplatten verschlüsselt. In diesem Fall kennen aber nur die Täter den zufällig generierten Schlüssel, den sie Opfern gegen eine Lösegeldzahlung anbieten.

Um das zu bewerkstelligen, nutzt ShrinkLocker den Forschern zufolge ein Visual Basic Script, dessen Code aber ziemlich veraltet und fehlerhaft sein soll. Darüber sollen die Angreifer Bitlocker-Konfigurationen modifizieren und dann Systemfestplatten verschlüsseln. Im Anschluss werden Opfer von einem Bitlocker-Bildschirm begrüßt, der zur Eingabe des Passworts zum Entschlüsseln hinweist. Über eine eingeblendete E-Mail-Adresse können Opfer die Angreifer für die Lösegeldzahlung kontaktieren. ShrinkLocker nutzt Group Policy Objects (GPOs) und geplante Aufgaben, um weitere Systeme im Netzwerk zu verschlüsseln. So können Angreifer ganze Domänen in Mitleidenschaft ziehen.

Bei der Analyse der Malware stießen die Forscher eigenen Angaben zufolge auf mehrere Fehler im Code. Ihr Tool setzt zur Datenwiederherstellung in einem bestimmten Zeitfenster im Bitlocker-Recovery-Modus an. Wie das im Detail funktioniert, steht im Beitrag der Forscher. Das Tool steht kostenlos zum Download. So können Opfer ohne Lösegeldzahlung wieder auf ihre Daten zugreifen.

Erneut gibt ein Anbieter für Bonitätsauskünfte unfreiwillig höchst sensible Daten preis. Wie die Hackerin Lilith Wittmann mittels eines prominenten Opfers zeigte, lässt sich "it's my data" Informationen über die Zahlungsmoral prominenter Politiker entlocken, aber auch beliebiger anderer Personen. Ursache: Ein ungenügend abgesicherter API-Aufruf.

Anzeige

Auskunfteien wie die Schufa oder Infoscore geben Einschätzungen über die Kreditwürdigkeit möglicher Vertragspartner ab – nicht nur Banken und Unternehmen, sondern auch Vermieter fordern diese Informationen routinemäßig an. Das Start-up "it's my data" macht aus diesem Umstand gleich mehrere Produkte wie einen "Bonitätspass" und eine "Mietermappe" zur Vorlage beim Vermieter.

Die itsmydata-Produkte seien von Maklern empfohlen, 100 Prozent DSGVO-konform und zertifiziert für digitale Transparenz, so die Eigenwerbung des Unternehmens. Doch Hackerin Wittmann stellte mehr Transparenz her als vom Anbieter beabsichtigt. Nachdem sie ein Konto bei itsmydata angelegt hatte, konnte sie mithilfe eines ungeschützten API-Calls ihre eigenen Daten wie Name und Meldeadresse ändern und durch die einer fremden Person ersetzen. Deren Bonitätsauskunft erhielt sie dann im praktischen PDF-Format. Laut Wittmann lässt sich dieses Vorgehen mehrfach wiederholen.

Derlei Lücken sind für die Berlinerin nichts Neues: Bereits vor gut einem Jahr hatte Wittmann sich die App "Bonify", eine Schufa-Tochter, vorgenommen und ebenfalls Bonitätsdaten eines Prominenten abgerufen. Die Kreditwürdigkeit des Ex-CDU-Gesundheitsministers habe sich immerhin ein wenig verbessert, bemerkte Wittmann belustigt in den sozialen Netzwerken.

Windows-Nutzerinnen und -Nutzer, die bestimmte Tools zum Öffnen von ZIP-Dateien verwenden, stehen im Visier von Cyberkriminellen. Sie senden speziell präparierte ZIP-Dateien, die von Virenscannern nicht angemeckert werden, aber sich mit bestimmten Programmen öffnen lassen.

Anzeige

Im konkreten Fall haben die IT-Forscher von PerceptionPoint verkettete ZIP-Archive mit Schadsoftware darin entdeckt und beschreiben den Fall in einer Analyse. Ein Trojaner, der als Frachtpapier-Dateianhang getarnt war, versteckte sich in einem verketteten ZIP. Dieser Dateianhang an der E-Mail wird von vielen Anti-Malware-Programmen nicht entdeckt. Auf den Windows-Schädling in diesem manipulierten Archiv ließ sich etwa mit WinRAR jedoch zugreifen.

Die Erkennung durch Antivirensoftware lässt sich mit ZIP-Dateien umgehen, die einfach aneinander kopiert wurden: An das harmlose .zip-Archiv eins hängen die Täter einfach das zweite .zip, das den Schädling enthält. Unter Windows würde etwa der Befehl copy /b Archiv-*.zip VerkettetesArchiv.zip die Dateien zusammenführen, die etwa als Archiv-1.zip und Archiv-2.zip in dem Verzeichnis vorliegen.

Die Ursache des Problems liegt im Umgang unterschiedlicher Software mit solchen Dateien. Die IT-Sicherheitsforscher haben das verkettete ZIP mit mehreren Programmen getestet: 7zip zeigt die Inhalte der ersten Datei und eine Warnung, dass weitere Daten nach dem Ende des Archivs vorliegen. Das im Windows Explorer ZIP-Tool liefert unterschiedliche Ergebnisse. Mit der Dateiendung .zip kann es die Datei gar nicht öffnen, sofern das präparierte Archiv jedoch in .rar umbenannt wird, taucht der Inhalt des zweiten Archivs mit der Malware auf. WinRAR hingegen liest das zentrale Verzeichnis des zweiten .zip und zeigt dessen Inhalt an. Ein derartiger Angriff ist also nur auf Nutzerinnen und Nutzer mit WinRAR erfolgversprechend, oder mit geändertem Dateinamen auf Windows-Nutzer mit Windows-Bordmitteln. Die Phishing-Mail in dem analysierten Fall enthielt dieses verkettete ZIP-Archiv mit dem Dateinamen "SHIPPING_INV_PL_BL_pdf.rar". Auf die Malware war dadurch mit Windows-eigenen Tools und WinRAR zugreifbar.

Häufig sind es Fehlkonfigurationen, die Angreifern den Zugang zu Cloud-Umgebungen erleichtern, auch bei AWS. Entwicklungsfehler, unzureichende Härtung sowie Standardeinstellungen, die eher auf Funktionalität als auf Sicherheit ausgerichtet sind, erhöhen das Risiko, dass Angreifer einzelne Anwendungen, Ressourcen und Identitäten kompromittieren können.

Anzeige

In dem Workshop Angriffe auf und Absicherung von Amazon Web Services (AWS) lernen Sie die Techniken der Angreifer kennen und erfahren, mit welchen Sicherheitsmaßnahmen Sie Ihre AWS-Dienste und Cloud-Identitäten besser schützen und so potenzielle Angriffe frühzeitig erkennen und abwehren können.

Dabei setzen Sie sich mit verschiedenen Angriffsszenarien und Sicherheitsstrategien auseinander. Sie werden in die wichtigsten Methoden wie unautorisierte Informationsbeschaffung, initiale Kompromittierung von AWS Identitäten und Privilegieneskalation eingeführt. Sie erfahren auch, wie wichtig es ist, die Angriffspfade zwischen lokalen Umgebungen und der AWS-Cloud zu verstehen. Beim Aufspüren von Fehlkonfigurationen lernen Sie, wie Sie diese beheben und Sicherheitsfunktionen aktivieren können. Frank Ully zeigt Ihnen, wie Sie Angriffe auf Ihre AWS-Umgebung erkennen und wie Sie CloudTrail, CloudWatch und GuardDuty konfigurieren und einsetzen, um Sicherheitsprotokolle zu analysieren und auf Sicherheitsvorfälle zu reagieren.

Die Schulung richtet sich an Administratoren, IT-Sicherheitsverantwortliche und Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Amazon Web Services (AWS) auseinandersetzen wollen. Referent ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München. Der nächste Workshop findet am 28. und 29. November 2024 statt

Zoom hat Patches veröffentlicht, die mehrere Sicherheitslücken in Meeting SDK, Rooms Client, Rooms Controller, Video SDK, Workplace App und Workplace VDI Client schließen. Die abgesicherten Versionen sind für Android, iOS, Linux, macOS und Windows erschienen. Bislang gibt es keine Hinweise auf bereits laufende Angriffe.

Anzeige

In den unterhalb dieser Meldung verlinkten Beiträgen finden Admins Informationen zu den bedrohten Versionen und Sicherheitspatches. Nach erfolgreichen Attacken können sich Angreifer mit Netzwerkzugriff, aber ohne Anmeldung höhere Nutzerrechte verschaffen (CVE-2024-45421 "hoch"). Außerdem können Informationen leaken (CVE-2024-45419 "hoch").

Liste nach Bedrohungsgrad absteigend sortiert:

Fortinet hat Updates veröffentlicht, die hochriskante Sicherheitslücken in FortiOS, FortiAnalyzer und FortiClient schließen. Angreifer können die Schwachstellen missbrauchen, um ihre Rechte auszuweiten, unbefugt sensible Aktionen auf betroffenen Geräten auszuführen oder unbefugt Zugriff auf Netze zu erlangen.

Anzeige

Der FortiClient für Windows ermöglicht Angreifern, ihre Rechte im System mittels LUA-Auto-Patch-Skripten auszuweiten, schreibt Fortinet (CVE-2024-36513, CVSS 7.4, Risiko "hoch"). In einer weiteren Sicherheitsmitteilung schreiben Fortinets Entwickler, dass Angreifer mit niedrigen Rechten mit gefälschten Named-Pipe-Nachrichten zudem in den FortiClients für Windows beliebigen Code mit höheren Rechten ausführen können (CVE-2024-47574, CVSS 7.4, hoch). FortiClient für Windows 7.0.13, 7.2.5 und 7.4.1 schließen die Lücken, im Versionszweig 7.4 ist die LUA-Lücke hingegen nicht vorhanden. Wer FortiClient 6.4 einsetzt, soll auf eine dieser Fassungen aktualisieren.

Im FortyAnalyzer und Fortimanager können Nutzer mit Nur-Lese-Zugriff einige sensible Aktionen starten, schreiben die Entwickler in einer Sicherheitsnotiz. Dafür müssen sie angemeldet sein – welche Operationen genau sie dann unbefugt ausführen können, nennt der Hersteller jedoch nicht (CVE-2024-23666, CVSS 7.1, hoch). Die Lücken dichten die Versionen FortiAnalyzer und Fortimanager 7.4.3, 7.2.6, 7.0.13 und 6.4.15 sowie FortiAnalyzer-BigData 7.4.1 und 7.2.7, die Versionszweige 7.0, 6.4 und 6.2 sollen auf diese unterstützten Fassungen oder neuere aktualisieren.

Außerdem warnt Fortinet davor, dass Angreifer ohne vorherige Anmeldung SSL-VPN-Sessions mittels Phishing von SAML-Authentifzierungs-Links in FortiOS übernehmen können (CVE-2023-50176, CVSS 7.1, hoch). FortiOS 7.4.4, 7.2.8 sowie 7.0.14 oder neuer korrigieren den zugrundeliegenden Fehler.

Am 19. und 20. März 2025 treffen sich IT-Security-Verantwortliche in Hannover auf der secIT 2025. Der Star der Konferenzmesse sind die von c't, heise security und iX ausgewählten Programmpunkte. Diese Vorträge und Workshops über unter anderem Active Directory, NIS2 und Zero Trust sind werbefrei und die Referenten vermitteln wertvolle Fakten, die Admins direkt in Unternehmen umsetzen können.

Anzeige

Die secIT 2025 findet am 19. und 20. März 2025 im Hannover Congress Centrum (HCC) statt. Bereits am 18. März gibt es vor Ort mehrere Ganztagsworkshops zu aktuellen IT-Sicherheitsthemen. Wer bereit ist, seine Daten mit dem Veranstalter und den Partnern zu teilen, erhält das Ticket gratis. Wer das nicht möchte, bekommt ein Tagesticket noch bis 30. November 2024 für 59 statt 99 Euro. Ein Dauerticket für beide Tage kostet 99 statt 139 Euro. Tickets sind ab sofort im Onlineshop buchbar.

Zusätzlich zum Vortragsprogramm gibt es auch noch eine Ausstellung, in der sich Interessierte aktuelle Sicherheitslösungen vorführen lassen können. Natürlich stehen unsere Partner an ihren Ständen auch für Gespräche bereit.

Damit Firmen bei der Umsetzung der NIS2-Richtlinie nicht verzweifeln, leisten mehrere Vorträge und Workshops Hilfestellung. Auch die Podiumsdiskussion dreht sich um das Thema. Überdies gibt es Vorträge zu unter anderem Deepfakes in Telefonaten, Active Directory in Windows Server 2025 und wie man Cloud-Umgebungen effektiv gegen Attacken rüstet.

Neue regulatorische Anforderungen auf EU-Ebene durch den Cyber-Security-Act veranlassen Hersteller, ihre erstellte Software und Hardware in Bezug auf Sicherheit zu prüfen und zertifizieren zu lassen. Doch welche Richtlinien und Vorgaben müssen in Deutschland und auf dem europäischen Markt berücksichtigt werden?

Anzeige

In unserem Online-Workshop CRA-konform: Digitale Produkte auf Sicherheit prüfen und zertifizieren erhalten Sie an zwei Vormittagen einen umfassenden Einblick in die gängigen Verfahren auf diesem Gebiet. Dazu gehören unter anderem die Common Criteria for Information Technology Security Evaluation (CC), das beschleunigte Sicherheitszertifizierungsverfahren (BSZ) des Bundesamtes für Sicherheit in der Informationstechnik sowie das Sicherheitsframework NESAS (Network Equipment Security Assurance Scheme) und Prüfungen nach IEC 62443-4-2 (Industrial Security).

Sie gewinnen ein Verständnis für die angewandten Prüfungsmethoden und lernen, wie Sie die notwendigen Schutzmaßnahmen in Ihre IT-Produkte integrieren können. Ihr Trainer Sebastian Fritsch ist Leiter der BSI Common Criteria (CC) Prüfstelle der secuvera und verfügt über mehr als 10 Jahre Erfahrung als Gutachter, Auditor und Berater.

Der nächste Workshop findet am 19. und 20. November 2024 jeweils von 9:00 bis 12:30 Uhr statt. Die Schulung bietet ausreichend Gelegenheit für individuelle Fragen und den Austausch mit Experten.

Ivanti hat Sicherheitsupdates für mehrere Produkte herausgegeben, die teils kritische Sicherheitslücken darin schließen. Administratorinnen und Administratoren sollten rasch handeln und die Aktualisierungen anwenden.

Anzeige

Am gravierendsten sind die Sicherheitslücken in der VPN- und NAC-Software von Ivanti, die die Entwickler in einer Sicherheitsmitteilung beschreiben. Sie betreffen Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) und Ivanti Secure Access Client (ISAC). Ein angemeldeter Angreifer aus dem Netz mit Admin-Zugang kann in Anfragen Argumente einschmuggeln und damit Schadcode einschleusen und ausführen (CVE-2024-38655, CVE-2024-38656, CVE-2024-39710, CVE-2024-39711, CVE-2024-39712; alle CVSS 9.1, Risiko "kritisch"). Zudem können sie das auch mit in Anfragen eingeschmuggelten Befehlen (CVE-2024-11007, CVE-2024-11006, CVE-2024-11005; alle CVSS 9.1, kritisch). Die Produkte sind von zahlreichen weiteren, als hohes Risiko eingestuften Schwachstellen betroffen.

Eine weitere Sicherheitsmitteilung von Ivanti listet Lücken im Endpoint Manager auf. Angreifer aus dem Netz können ohne vorherige Authentifizierung eine SQL-Injection-Schwachstelle zum Einschleusen von Schadcode missbrauchen (CVE-2024-50330, CVSS 9.8, kritisch). Außerdem können bösartige Akteure aus dem Netz ohne vorherige Anmeldung eine Path-Traversal-Lücke attackieren, was ebenfalls in der Ausführung von Code aus dem Netz führt. Hierfür ist jedoch eine Nutzerinteraktion nötig, was die Risikobewertung ganz knapp unter kritisch drückt (CVE-2024-50329, CVSS 8.8, hoch). Die aktualisierten Versionen schließen noch zahlreiche weitere, als hochriskant eingestufte Sicherheitslecks.

Für die Mobile-Device-Management-Software (MDM) Avalanche listet Ivanti fünf Sicherheitslücken mit einer Risikoeinschätzung als hoher Bedrohungsgrad auf. Sofern Angreifer die Lücken erfolgreich missbrauchen, können sie den Dienst für legitime Nutzer lahmlegen (Denial of Service) oder unbefugt auf sensible Informationen zugreifen. Das Problem löst Ivanti Avalanche in Version 6.4.6 oder neueren, die im Download-Portal unter der Wavelink-Domain verfügbar ist.

Hacker haben sich am Stromanbieter Tibber vergriffen und Daten geklaut. Das bestätigte das Unternehmen gegenüber heise security. Betroffen sind offenbar über 50.000 Kunden, allesamt aus Deutschland. Die Angreifer bieten ihre Beute im Darknet zum Kauf an.

Anzeige

Seit dem 11. November steht in einem populären Darknet-Forum ein Datensatz mit dem Titel "Tibber Data Breach - Leaked, Download" bereit. Einige Beispielzeilen enthalten Name, E-Mail-Adresse, Bestellbetrag und unvollständige Adressdaten.

Sie sind authentisch: Die Datensätze stammen aus einem Einbruch in den Tibber-Shop. Das gab das Unternehmen gegenüber heise security zu. In seinem Online-Laden verkauft Tibber Smart-Energy-Hardware wie den Strom-Tracker "Pulse". Ein Unternehmenssprecher betont jedoch, dass weder Zahlungs- noch Verbrauchsdaten abhanden gekommen seien, auch die genauen Adressen und Passwörter hätten die Hacker nicht erbeutet.

Der Umfang der gestohlenen Datensätze unterscheidet sich von der Darstellung der Hacker. Diese behaupten, 243.000 Datenzeilen aufgefunden zu haben, laut Tibber sind jedoch lediglich 50.000 Kunden betroffen. Die Diskrepanz könnte sich durch Mehrfachnennungen oder in mehrere Zeilen aufgeteilte Datensätze erklären.

Angreifer können Adobe After Effects, Audition, Bridge, Commerce, Illustrator, InDesign, Photoshop oder Substance 3D Painter ins Visier nehmen. Im schlimmsten Fall kann Schadcode auf Systeme gelangen. Weiterführende Informationen zu den Sicherheitslücken und abgesicherten Versionen finden Admins in den unterhalb dieser Meldung verlinkten Warnhinweisen.

Anzeige

After Effects ist unter macOS und Windows angreifbar. Die Entwickler geben an, in den Ausgaben 24.6.3 und 25.0 sechs Sicherheitslücken geschlossen zu haben. Darunter sind mehrere Schwachstellen, über die Angreifer Schadcode auf PCs schieben und ausführen können (etwa CVE-2024-47441 "hoch"). Dafür müssen Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler (Out-of-bounds) auslösen.

Substance 3D Painter ist ebenfalls über mehrere Schadcode-Schwachstellen attackierbar. Hier schafft Ausgabe 10.1.1 für alle Plattformen Abhilfe. Illustrator ist in den Versionen 28.7.2 und 29.0.0 unter macOS und Windows gegen Schadcode-Attacken gerüstet.

Durch Lücken InDesign kann auch Schadcode auf Systeme gelangen und diese kompromittieren. Die Schwachstellen haben die Entwickler in den Ausgaben ID18.5.3, ID18.5.4 und ID20.0 geschlossen. Photoshop 2023 24.7.4 und Photoshop 25.12 sind auch gegen das Ausführen von Schadcode (CVE-2024-49514 "hoch") gerüstet.

Derzeit nutzen Angreifer zwei Sicherheitslücken in Windows aus. Weitere Sicherheitslücken sind öffentlich bekannt, sodass zusätzliche Attacken bevorstehen können. Admins sollten sicherstellen, dass Windows Update aktiv ist und die aktuellen Patches installiert sind.

Anzeige

Der Internet Explorer ist zwar Geschichte, die HTML-Rendering-Engine des Webbrowsers MSHTML ist aber nach wie vor in Windows aktiv. Darin klafft eine Schwachstelle (CVE-2024-43451, Risiko "mittel"), die Angreifer derzeit ausnutzen. Aus einer Warnmeldung von Microsoft geht aber nicht hervor, in welchem Umfang die Attacken ablaufen oder wie sie zu erkennen wären.

Im Zuge der Attacken schieben Angreifer Opfern präparierte Dateien unter. Bereits ein Klick auf diese Datei soll ausreichen, um den Angriff einzuleiten. Im Anschluss können Angreifer NTLMv2-Hashes erbeuten, mit denen sie sich dann an anderen Stellen authentifizieren können. Davon sind aktuelle und ältere Windows-Desktop- und Windows-Server-Versionen betroffen.

Die zweite ausgenutzte Schwachstelle (CVE-2024-49039, "hoch") betrifft den Windows Task Scheduler. Attacken sind einem Beitrag zufolge aber nur möglich, wenn Angreifer bereits authentifiziert sind, um eine präparierte Applikation zu starten. Ist das gegeben, kann der Angreifer aus einem AppContainer ausbrechen und Code mit unter Umständen erhöhten Rechten (Medium Integrity Level) ausführen.

Citrix hat Updates zum Schließen von Sicherheitslücken veröffentlicht. Für Angriffe verwundbar sind Citrix Netscaler ADC, Netscaler Gateway und Session Recording. Die US-amerikanische IT-Sicherheitsbehörde CISA geht davon aus, dass einige der Lücken Angreifern die Übernahme der Kontrolle von betroffenen Systemen ermöglichen.

Anzeige

In der Sicherheitsmitteilung von Citrix zu den Schwachstellen in Netscaler ADC und Netscaler Gateway erklären die Entwickler, dass es "zu Speicherschutzverletzungen kommen kann, die zu Speicherbeschädigungen und Denial-of-Service" führen können. Es sind also offenbar Zugriffe auf Speicher außerhalb vorgesehener Grenzen möglich. Konkrete Auswirkungen neben DoS nennt Citrix nicht, aber der Schweregrad legt nahe, dass dadurch Codeschmuggel möglich ist (CVE-2024-8534, CVSS 8.4, Risiko "hoch"). Zudem können authentifizierte Angreifer unbefugt auf Funktionen zugreifen, was offenbar mit einer KCDAccount-Konfiguration zusammenhängt, die auf Kerberos SSO zum Zugriff auf Backend-Ressourcen setzt (CVE-2024-8535, CVSS 5.8, mittel).

Zudem meldet Citrix Sicherheitslücken im Session Recording von Citrix Virtual Apps and Desktops. Angreifer können ihre Rechte zum NetworkService-Account ausweiten (CVE-2024-8068, CVSS 5.1, mittel) oder begrenzt Schadcode aus dem Netz mit diesen Rechten ausführen (CVE-2024-8069, CVSS 5.1, mittel). Die aktualisierten Software-Versionen sind in der Citrix-Meldung verlinkt.

Die Schwachstellen bessern die Versionen Netscaler ADC und Netscaler Gateway 14.1-29.72 und 13.1-55.34 sowie Netscaler ADC FIPS 13.1-37.207, 12.1-55.321 und 12.1-55.321 aus. Netscaler ADC und Netscaler Gateway 12.1 und 13.0 sind ebenfalls verwundbar, aber an ihrem End-of-Lifecycle angelangt und erhalten daher kein Update – Betroffene sollen ihre Appliances auf eine unterstützte Version aktualisieren. Die Cloud-Dienste von Citrix hat der Hersteller bereits gepatcht, hier müssen IT-Verantwortliche nicht weiter aktiv werden.

18 Folgen ist "Passwort" nun lang. Gibt es so was wie Episoden-Volljährigkeit? Jedenfalls nutzt der Podcast von heise security sein Erwachsenwerden prompt, um sich ins Darknet zu begeben. Konkret sehen sich die Hosts in dieser Episode das Tor-Netzwerk an. Ein Overlay-Netz, das die anonyme Nutzung von Internetdiensten ermöglicht und damit ein wichtiges Werkzeug für Dissidenten oder Journalisten darstellt – aber auch für Kriminelle aller Couleur und viele andere Betätigungsfelder.

Anzeige

Microsofts Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst Entra ID – bisher bekannt als Azure Active Directory – ist als zentraler Bestandteil vieler Unternehmensnetzwerke ein beliebtes Ziel für Ransomware und andere Angriffe.

Anzeige

Im zweitägigen Online-Workshop Angriffe auf und Absicherung von Entra ID erfahren Sie, wie Angreifer Fehlkonfigurationen in Microsofts Identitätsverwaltungsdienst und fehlende Härtungsmaßnahmen erkennen und ausnutzen. Darauf aufbauend zeigt Ihnen Thomas Kudlacek, wie Sie Ihre Entra ID-Umgebung inklusive der Azure-Dienste effektiv absichern und gibt Ihnen Empfehlungen. Mit den Unterlagen, die Sie in dieser Schulung erhalten, können Sie im Anschluss selbstständig üben.

Der nächste Workshop findet vom 4. bis 5. Dezember 2024 statt und richtet sich an Kolleginnen und Kollegen aus den Bereichen Administration, IT-Leitung und IT-Sicherheit. Thomas Kudlacek ist Cyber Security Specialist bei der Cyber Security Academy von Oneconsult. Zuvor war er als Penetrationstester für einen internationalen Dienstleister tätig.