Comretix Blog

Der Bundestag lässt prüfen, ob die Abgeordneten und ihre Mitarbeiter auf Lockmails im Rahmen von Phishing-Attacken hereinfallen. Die Büros von Politikern aller Fraktionen sollen in den vergangenen Tagen eine Reihe von E-Mails erhalten haben, die vermeintlich von der Parlamentsverwaltung stammten, schreibt der Spiegel. Wer auf einen darin enthaltenen Link geklickt habe, sei auf einer angesteuerten Webseite aufgefordert worden, persönliche Informationen wie Passwörter einzugeben.

Anzeige

Die Phishing-Kampagne ist dem Bericht zufolge Teil eines offiziellen Penetrationstests. Ziel sei es, der IT-Sicherheit im Bundestag verdeckt auf den Zahn zu fühlen. Die Kommission für Informations- und Kommunikationstechnologien (IuK) des Ältestenrats habe diese Maßnahme beschlossen. Inzwischen seien alle Abgeordneten mit einem Schreiben der IT-Sicherheit des Bundestags über die Hintergründe der Aktion aufgeklärt worden.

Viele Empfänger sind auf die verdächtigen E-Mails nicht hereingefallen. Sie hätten diese "wie vorgesehen" an eine Meldestelle weitergeleitet oder sich an die IT-Hotline des Bundestags gewandt, zitiert der Spiegel aus dem Schreiben. Ein solcher Umgang sei für eine wirkungsvolle Abwehr wirklicher Phishing-Kampagnen "unbedingt notwendig". Offenbar waren aber nicht alle Betroffenen sensibilisiert genug: An all diejenigen, "die Links in den E-Mails angeklickt" und dabei gegebenenfalls Anmeldeinformationen eingegeben haben, geht der Appell, "das Passwort vorsorglich zu ändern".

"Es ist gut, dass sich alle Verfassungsorgane im Lichte stark gestiegener Bedrohungslagen zur Aufgabe machen, die eigene Resilienz zu erhöhen", lobte der Grünen-Fraktionsvize Konstantin von Notz die unangekündigten Proben. "Hierfür ist Sensibilität gegenüber stark gestiegenen Risiken ein wichtiger Baustein." Der 53-Jährige gehört der IuK-Kommission des Parlaments an, war also vermutlich prinzipiell über das Vorhaben im Bilde.

Die gefundene Sicherheitslücke basiert auf der Testsoftware der Wi-Fi Alliance auf den Routern, die es Angreifern ermöglicht, nahezu beliebigen Code mit Adminrechten auszuführen. Die Wi-Fi-Test-Suite ist eine Plattform, die von der Wi-Fi Alliance entwickelt wurde und das automatisierte Testen von Wi-Fi-Komponenten erlaubt. Während die Open-Source-Komponenten des Toolkits frei erhältlich sind, steht das vollständige Paket nur Mitgliedern der WiFi Alliance zur Verfügung.

Anzeige

Das CERT Coordination Center (CERT/CC) stellte fest, dass die Wi-Fi-Test-Suite normalerweise nicht für den Einsatz in Produktionsumgebungen vorgesehen ist. Dennoch wurde die Software auf ausgelieferten Arcadyan-Routern entdeckt. Die Forscher identifizierten bei der Analyse der Schwachstelle einen Command-Injection-Fehler (CVE-2024-41992). Dieser kann es Angreifern ermöglichen, die vollständige Kontrolle über betroffene Router zu übernehmen.

„Mit einem Zugriff darauf kann der Angreifer Systemeinstellungen ändern, kritische Netzwerkdienste unterbrechen oder das Gerät vollständig zurücksetzen. Diese Aktionen können zu einer Kompromittierung von Netzwerkdaten und einem potenziellen Ausfall des Dienstes für alle Benutzer führen", so die Sicherheitsexperten in einer Gefahreneinschätzung. Inzwischen wurde die Sicherheitslücke von unterschiedlichen Onlineportalen wie Cybersecuritynews und TheHackerNews veröffentlicht.

Bis ein Herstellerpatch zur Verfügung steht, empfehlen die Experten, vorhandene Arcadyan-Router auf vorhandene Installationen der Wi-Fi-Test-Suite zu prüfen. Falls die Suite installiert ist, bereinigt eine vollständige Entfernung das Sicherheitsproblem nachhaltig. Wo die Funktionen der Suite im Einsatz sind und ein Entfernen daher nicht in Frage kommt, soll ein Update auf die Release 9.0 der Suite das Risiko des Missbrauchs verhindern.

Die Ransomware-Gruppe Black Basta operiert weltweit und ist dafür bekannt, Benutzer mit E-Mail-Spam zu überhäufen und sich dabei als Helpdesk-Mitarbeiter auszugeben, um Daten abzugreifen und Zugänge auszuspähen. Diese Methode wurde nun offenbar dahingehend verändert, dass Microsoft Teams-Chatnachrichten dazu verwendet werden, Kontakt mit Mitarbeitern in Unternehmen aufzunehmen.

Anzeige

Wie das Cybersicherheitsunternehmen ReliaQuest meldete, arbeitet Black Basta bei der neuen Methode mit Microsoft Teams-Chatnachrichten, um Mitarbeiter und Mitarbeiterinnen von Unternehmen in Gespräche zu verwickeln. Dabei geben sich die Kriminellen als Support-, Administrator- oder Helpdesk-Mitarbeiter aus, um sich das Vertrauen der Opfer zu erschleichen.

Teilweise sollen Mitarbeiter von Unternehmen durch die Black Basta-Gruppe zu MS Teams-Chatgruppen eingeladen worden sein. Einmal in der Gruppe im Gespräch war es offenbar leicht, Kontakte zu knüpfen. Über QR-Codes wird dann versucht, die Mitarbeiter auf externe Seiten zu locken. Diese sind dabei auf die betreffende Zielorganisation zugeschnitten und häufig nur die genaue Prüfung der Subdomain von echten Unternehmensseiten zu unterscheiden.

Um sich vor der neuen Phishing-Methode zu schützen, empfiehlt ReliaQuest mehrere Maßnahmen. Dazu gehören das Blockieren von verdächtigen Domains und Subdomains, die Sperrung der Kommunikation von externen Benutzern innerhalb von Microsoft Teams sowie die saubere Definition von vertrauenswürdigen Domänen. ReliaQuest empfiehlt auch, die Protokollfunktion in MS Teams zu aktivieren, um das frühzeitige Erkennen und die Untersuchung von Vorfällen zu erleichtern.

Der State of the API Report 2024 von Postman stellt fest, dass Unternehmen APIs zunehmend als Produkt behandeln und gezielt entwickeln, vermarkten und monetarisieren. Bei den Nutzern, die Schnittstellen einbinden, bleiben Sicherheitsaspekte oft auf der Strecke.

Anzeige

Die API-Plattform Postman, die selbst Dienste zur API-Vermarktung anbietet, hat für den Report über 5600 Softwareentwicklerinnen und -entwickler befragt, von denen 62 Prozent an kostenpflichtigen Schnittstellen arbeiten. 21 Prozent der befragten Unternehmen erzielen sogar über dreiviertel ihres jährlichen Gesamtumsatzes mit ihren öffentlichen APIs. Selbst große TK-Provider kommen auf den Geschmack.

OpenAI macht in diesem Jahr bereits 79 Prozent des API-Traffics der Postman-Plattform aus.

(Bild: Postman, State oft he API Report 2024)

Verschlüsselungsalgorithmen sind in den allermeisten Fällen gar nicht dazu da, geheime Botschaften zu verbergen. Viel öfter dient Krytopgraphie dazu, geschäftliche Transaktionen abzusichern, Personen im Internet zu authentifizieren oder dafür zu sorgen, dass wirklich nur Updates aus verlässlichen Quellen eingespielt werden.

Anzeige

Umso beunruhigender wirkt da der Gedanke, dass die Sicherheit herkömmlicher Verschlüsselungsverfahren ausschließlich darauf beruht, dass ihre Entschlüsselung sehr, sehr viel Rechenzeit beansprucht. Was mit klassischen Computern Tausende Jahre dauern würde, ließe sich – zumindest theoretisch – mit Quantencomputern aber sehr viel schneller bewerkstelligen. Bislang gibt es aber noch keine Quantencomputer, die mächtig genug wären, um das zu bewerkstelligen.

Jetzt hat ein chinesisches Forschungsteam prinzipiell gezeigt, wie sich ein moderner Verschlüsselungsalgorithmus mithilfe eines Quantencomputers aushebeln lässt. Das berichtet das Branchenportal The Quantum Insider. Demnach haben die Forschenden zwar keine konkreten Passcodes geknackt. Die chinesische Zeitung South China Morning Post wertet den Angriff jedoch als "reale und erhebliche Bedrohung" für Sektoren, wie das Bankwesen und das Militär.

Ermöglicht wurde der erfolgreiche Angriff zudem nicht durch einen universellen Quantencomputer, sondern durch einen sogenannten "Quanten Annealer" des kanadischen Herstellers D-Wave. Das Unternehmen war weltweit das Erste, das kommerziell verfügbare Quantencomputer anbot. Allerdings lassen sich auf den D-Wave-Quantenprozessoren eigentlich nur spezielle Optimierungsprobleme lösen. Die Kunst der Programmierer besteht darin, die konkreten zu lösenden Probleme zunächst in Optimierungsprobleme umzuformen, damit sie mit einem D-Wave-Prozessor gelöst werden können. Technische Einzelheiten des Angriffs beschreiben Wang Chao von der Universität Shanghai und sein Team in einem Beitrag für das Chinese Journal of Computers.

Anzeige

Die Auswertung von Bildinhalten zur Personalisierung von Werbeinhalten ist tief in modernen Fernsehern verankert. Nicht nur App-Entwickler bauen Tracking in ihre Angebote ein – auch die Smart-TV-Hersteller werten umfassend das Nutzungsverhalten aus.

Das Werbe-Tracking bei Smart-TVs ist an sich ein alter Hut. Eine neue Untersuchung britischer, spanischer und kalifornischer Universitäten beschäftigt sich allerdings mit dem Ausmaß auf Betriebssystemebene und den Unterschieden zwischen verschiedenen Nutzungsszenarien, etwa ob eine Streaming-App läuft oder eine Spielkonsole angeschlossen ist. Exemplarisch dient je ein Gerät von Samsung und LG – andere Hersteller sammeln allerdings ebenfalls Daten und dürften ähnlich vorgehen.

Die gute Nachricht vorab: Sämtlicher Analyse-Traffic lässt sich über die Datenschutz- und Privatsphäre-Einstellungen in den TV-Menüs unterbinden, die man meistens aber manuell vornehmen muss (Opt-out). Die Untersuchung bestätigt, dass die Fernseher dann nicht mehr nach Hause telefonieren. Wo diese Optionen versteckt sind, unterscheidet sich nach Hersteller und teilweise Modell. Im Zweifelsfall hilft die Bedienungsanleitung weiter.

Die grundlegende Technik heißt Automatic Content Recognition (ACR): Smart-TVs erstellen regelmäßig Hashes aus den sicht- und teilweise hörbaren Inhalten, Fingerprints beziehungsweise Fingerabdrücke genannt. Diese Hashes werden verschlüsselt in die Hersteller-Clouds geladen und serverseitig mit einer Datenbank aus vorrangig Filmen, Serien und Spielen abgeglichen. Bei einem Match weiß der Hersteller, was der Nutzer gerade schaut oder spielt. Einerseits kann der Hersteller damit selbst passende Werbung in der Oberfläche einblenden, andererseits sind die Erkenntnisse auch für Werbeabkommen nützlich.

Auf der IT-Sicherheitsmesse it-sa hat das BSI erstmals die Neuauflage des IT-Grundschutzes vorgestellt: BSI-Präsidentin Claudia Plattner kündigte die Revision in der Pressekonferenz zur Messe an und bei einer Extraveranstaltung im Rahmen der Messe stellten die Mitarbeiter des IT-Grundschutz-Teams die Details des IT-Grundschutz++ vor. Die Kompendien des IT-Grundschutzes bietet Behörden und Unternehmen einen Leitfaden für den Aufbau eines Informationssicherheits-Managementsystems (ISMS), womit Unternehmen und Behörden ihre Sicherheitsbemühungen strukturiert angehen. Ein auditiertes ISMS ist dabei eine Grundlage für Sicherheitszertifizierungen wie die ISO 27001. Stichtag für die Neuauflage ist der 1. Januar 2026.

Anzeige

Ziel des BSI ist es, den Grundschutz anwenderfreundlicher zu machen und insbesondere bei der Dokumentation Aufwand und Redundanz zu verringern. Dafür setzt das BSI beim IT-Grundschutz++ auf eine maschinenlesbare Syntax der Bausteine des Grundschutzes als JSON-Objekte, die man dann zum Beispiel auch über Git einfacher verbreiten oder aktualisieren kann. Für eine Messbarkeit der Umsetzung des Grundschutzes arbeitet der IT-Grundschutz++ mit Punktzahlen in den Kategorien Vertraulichkeit, Integrität und Verfügbarkeit für die Bausteine, die in Zukunft Praktiken heißen. Wichtig sind hierbei die Priorität und die Wertigkeit der Maßnahmen. Die Praktiken selbst fallen in fünf Stufen, die sich in "Kann jeder machen" bis "Erhöhter Schutzbedarf" unterteilen. IT-Sicherheit auf dem "Stand der Technik" ist dabei die vierte Stufe. Auf jeder dieser Stufen können Behörden und Unternehmen dann ihren Fortschritt messen, für die Zertifizierung will das BSI noch Schwellenwerte erarbeiten.

Beim aktuellen Grundschutzkompendium arbeitet das BSI derzeit noch an Erweiterungen für KI- und Cloudanwendungen. Diese sollen ebenfalls bis 2026 in den Leitfaden des BSI einfließen. Behörden und Unternehmen, die den Grundschutz aktuell umsetzen, können den dann alten Grundschutz jedoch erst einmal parallel zur neuen Version weiterverfolgen: Das BSI verspricht hier eine mehrjährige Übergangsfrist.

Vorbild für das vereinfachte Umsetzen des IT-Grundschutz++ ist das Projekt Weg in die Basissicherung (WiBA), das seit 2023 Kommunen helfen soll, die nicht durch die Anforderungen des IT-Grundschutzes durchsteigen. Der WiBA soll sukzessiv zum Grundschutz führen und reduziert die aktuell 111 Bausteine auf 67 Bausteine in 19 Checklisten, die eine Aufwandsschätzung für Quick-Wins enthält – der Anspruch ist "Wenig Aufwand, viel Effekt". Dafür bietet der WiBA eine Erklärung der Vorgehensweise, eine empfohlene Reihenfolge, ein Management Summary, das der Institutsleitung die Konzepte und die Relevanz erläutert, und Excel-Listen sowie ein Tool, damit man nicht ausschließlich mit Word-Listen arbeiten muss. Auch eine Lightvariante für Feuerwehren existiert mittlerweile.

Die Entwickler des Tor Browsers haben die vierzehnte Version der Software veröffentlicht. Sie behebt Dutzende Fehler und aktualisiert die Browser-Engine auf Firefox ESR 128. Um das zu leisten, mussten die Tor-Entwickler einen umfangreichen Audit absolvieren. Auch unter Android hat sich einiges getan: Die App wird schlanker und neue Identitäten sind mit wenigen Fingerzeigen angefordert.

Anzeige

Der Tor Browser ist die wohl simpelste Möglichkeit für Anwender, das anonymisierende Netzwerk zu nutzen und sogenannte "hidden services" im Darknet über deren onion-Adresse abzurufen. In seinem Kern basiert der Browser auf Firefox ESR (Extended Support Release), den die Tor-Entwickler weiter anpassen, um ihn weniger geschwätzig zu machen. So modifiziert der Tor Browser die verräterische "User Agent"-Kennung, enthält standardmäßig die Erweiterung "Noscript" zur Unterdrückung neugieriger Skripte und blockiert unsichere oder zum Tracking geeignete Funktionen in drei Sicherheitssstufen.

Der Tor Browser erlaubt Nutzern, schnüffelnde Skripte und Web-Elemente in drei Sicherheitsstufen einzuschränken.

(Bild: heise security / cku)

Riesige Bot-Netze aus Routern, Kameras, NAS und anderen Gerätschaften sind eine akute Bedrohung für die IT. Sind Sie sich sicher, dass da nicht auch eines der Geräte aus Ihrem Netz bereits unter fremder Kontrolle ist? IoT-Geräte haben eine permanente Netzwerk-Anbindung und strotzen oft nur so von trivial auszunutzenden Sicherheitslücken. Patches gibt es nicht und wenn doch, dann finden sie nur selten ihren Weg auf die bereits aktiven Geräte. Das macht sie zum idealen Einfallstor oder Brückenkopf für Cybercrime. Andererseits bieten die smarten Geräte so vielfältigen Nutzen, dass sie längst zum Alltag gehören.

Anzeige

Damit bleibt es an Admins und Sicherheitsverantwortlichen, die davon ausgehende Gefahr irgendwie in den Griff zu bekommen. Dieses halbtägige heise security XXL Webinar vermittelt nicht nur das dafür nötige Wissen; die Referenten geben auch ganz konkrete, praxistaugliche Tipps und Anleitungen, wie Sie mit der Gefahr durch IoT-Geräte sinnvoll umgehen. Dabei schöpfen Dennis Heinze und Frieder Steinmetz aus ihrem Fundus langjähriger Erfahrung im Bereich Pen-Testing und IoT-Hacking.

Das Webinar zeigt die typischen Schwachstellen auf und gibt praktische Tipps, wie Sie auch ohne ausgiebiges Pen-Testing das von einem Gerät ausgehende Gefahren-Potenzial quantifizieren können. Das mündet in eine Check-Liste für das Evaluieren existierender oder demnächst anzuschaffender Geräte. Und schlussendlich stellen die Referenten die nötigen Konzepte und Architekturen vor, die einen verantwortungsbewussten Betrieb potenziell unsicherer Geräte ermöglichen und geben praxistaugliche Empfehlungen für den Umgang mit Altlasten.

Das XXL Webinar findet statt am 30. Oktober 2024 und dauert circa drei Stunden, in denen auch viel Raum für Fragen der Teilnehmer vorgesehen ist. Wie bei allen heise security Events ist die Veranstaltung komplett werbefrei und unabhängig. Sie richtet sich vor allem an Administratoren und Sicherheitsverantwortliche in Unternehmen und Behörden aller Größen. Die Teilnahme kostet regulär 295 Euro. Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen (ihr erhaltet die Informationen dazu wie üblich über den exklusiven Security-Newsletter und im neuen PRO-Forum).

"Das Ausmaß wesentlicher Verletzungen der IT-Sicherheit herunterzuspielen, ist eine schlechte Strategie. " Das schreibt Jorge G. Tenreiro von der US-Kapitalmarktbehörde SEC börsennotierten Firmen ins Stammbuch. Die Behörde hat gerade Unisys, Avaya, Check Point und Mimecast bestraft, weil sie die Auswirkungen von Angriffen über Solarwinds Orion kleingeredet haben. Tenreiro ist amtierender Leiter der Crypto Assets and Cyber Unit (CACU) der SEC (Securities Exchange Commission).

Anzeige

Mutmaßlich staatlichen Hackern Russlands ist es 2019 gelungen, SolarWinds' Orion-Plattform zu kompromittieren und einen Trojaner in offizielle Updates einzuschmuggeln. SolarWinds vertreibt Netzwerk- und Sicherheitsprodukte, die damals mehr als 300.000 Kunden weltweit eingesetzt haben. Darunter befinden sich viele Fortune 500-Unternehmen, Regierungsbehörden wie das US-Militär, das Pentagon und das Außenministerium. Durch das Einspielen der Updates wurden ihre Systeme ab März 2020 kompromittiert. Ende 2020 entdeckte Fireeye die Hintertüren. Im Februar 2021 sprach Microsoft-President Brad Smith vom "größten und raffiniertesten Angriff, den die Welt je gesehen hat".

Unisys muss mit vier Millionen US-Dollar die höchste Strafe zahlen, weil die Behörde dort eine weitere Verfehlung entdeckt hat: Die interne Aufsicht über die rechtlich vorgeschriebenen Mitteilungen an Aktionäre, Gläubiger und potenzielle Investoren war mangelhaft. Das trägt laut SEC mit Schuld daran, dass Unisys seine IT-Sicherheitsrisken als rein hypothetisch beschrieben hat, obwohl Solarwinds-Einbrecher sich nicht nur einmal, sondern bereits zweimal Zugriff auf Unisys-Systeme verschafft und Daten exfiltriert hatten.

Avaya zahlt eine Million Dollar. Das auf Dienstleistungen rund um Unified Communications spezialisierte Unternehmen hat zwar zugestanden, dass die Täter eine "beschränkte Zahl an E-Mails der Firma" abgerufen haben. Leider vergaß Avaya zu erwähnen, dass sich die Einbrecher auch an mindestens 145 Dateien im cloudbasierten Filesharing zu schaffen gemacht haben.

Offenbar haben Cyberkriminelle bemerkt, dass sie die Taktiken, die sie auf anderen Plattformen fahren, auch auf Apple-Systeme anwenden können. Sicherheitsforscher der Firma Trend Micro haben macOS-Malware entdeckt, die in der Lage ist, Dateien zu sperren und Daten zu exfiltrieren. Bisher gab es Ransomware, die auf macOS abzielt, bestenfalls als Proof of Concept, schlechtestenfalls tat sie nicht, was sie sollte.

Anzeige

Nach erfolgter Verschlüsselung der Dateien auf dem System gab sich die Malware per geändertem Desktop-Banner als LockBit-Ransomware aus. Offenbar stammte die Schadsoftware jedoch nicht von der bekannten Ransomware-Gruppe, auch wenn einer der erfolgreicheren unter den vorangegangenen Versuchen, Ransomware für macOS zu entwickeln, tatsächlich von LockBit stammte. Das Wallpaper zeigte die Aufschrift LockBit 2.0, die Schadsoftware der Gruppierung liegt allerdings schon seit Längerem in Version 3.0 vor und die Entwickler wurden gefasst. Hinter dem jetzt entdeckten Sample scheint ein anderer Akteur zu stecken, der nur den Namen der bekannteren Gruppierung nutzt.

Geschrieben ist die Ransomware laut der Forscher in der von Google entwickelten Programmiersprache Go. Sie wird als x86_64-Binärdatei verteilt, was bedeutet, dass sie nur auf Macs mit Intel-Prozessor läuft – oder auf Apple Silicon Macs, auf denen die Rosetta Emulation Software installiert ist.

Forscher der Firma Sentinel, die das Thema auf ihrem Blog aufgreifen, schlagen den Namen macOS.NotLockBit für die Schadsoftware vor. Sie haben zusätzlich zu den bereits von anderen Forschern identifzierten eine Reihe weiterer sogenannter Mach-O-Dateien gefunden. Mach-O ist ein spezielles Dateiformat für Programme, Objektcode und dynamische Bibliotheken, das in macOS verwendet wird. In einem Blogpost haben sie sogenannte Indicators of Compromise (IoC) untersucht. Anhand solcher Hinweise lässt sich im Allgemeinen überprüfen, ob eigene Systeme befallen sein könnten.

Symantec ist bei der Untersuchung populärer Apps auf hartkodierte und unverschlüsselte Zugangsdaten zu Cloud-Diensten in der Codebasis gestoßen. Dadurch könne jeder mit Zugriff auf die App-Binary oder die Quellen dazu diese Zugangsdaten extrahieren und sie missbrauchen, um Daten zu manipulieren oder exfiltrieren. Das führe zu ernst zu nehmenden Sicherheitsverstößen.

Anzeige

In einem Blog-Beitrag analysieren Symantecs IT-Forscher mehrere beispielhafte Apps. Dabei konzentrieren sie sich auf solche, die hartkodierte Zugangsdaten zu Amazon Web Services (AWS) und Microsoft Azure Blob Storage enthalten.

Die Android-App "Pic Stitch: Collage Maker" kommt auf mehr als fünf Millionen Installationen im Play Store und enthält Zugangsdaten zu AWS. Zudem findet sich das Problem auch in drei populären iOS-Apps, etwa "Crumbl", "Eureka: Earn Money for Surveys" und "Videoshop - Video Editor". "Crumbl" hat im Apple-Store knapp vier Millionen Bewertungen erhalten und steht auf Platz fünf der Kategorie "Essen und Trinken". Die darin gespeicherten Klartext-Zugangsdaten lassen sich zur Konfiguration von AWS-Diensten nutzen, was Missbrauch Tür und Tor öffne. Die verwendete URL als API-Endpunkt zu IoT-Diensten in AWS erleichtere Angriffe wie das Abfangen und Manipulieren von Kommunikation und schließlich unautorisierten Zugriff zu den damit verbundenen AWS-Ressourcen, erörtern Symantecs Mitarbeiter. Die "Eureka"-App hat immerhin mehr als 400.000 Bewertungen vorzuweisen, die "Videoshop"-App hingegen mehr als 350.000.

Aber auch Zugangsdaten zu Azure-Cloud-Diensten finden sich in Apps. Etwa die Android-App "Meru Cabs" wurde mehr als fünf Millionen Mal aus dem Google Play Store heruntergeladen. Die darin eingebetteten Verbindungs-Zeichenketten und Zugangsschlüssel würden kritischen Cloud-Speicherplatz offenlegen und potenziellem Missbrauch aussetzen. Am Ende der Meldung hat Symantec eine Tabelle mit App-Namen, deren Download-Anzahl respektive Bewertungsanzahl und zu welchem Cloud-System Zugangsdaten enthalten sind, gesammelt.

Nachdem Botnetze der Bumblebee-Malware nach einer großangelegten gemeinsamen Operation von Sicherheitsbehörden mehrerer Länder im Mai vorerst vom Netz genommen worden waren und die Malware vorerst von der Bildfläche verschwunden war, ist sie jetzt offenbar wieder aufgetaucht. Das berichten Sicherheitsforscher der Firma Netskope.

Anzeige

Die von Netskope entdeckte Bumblebee-Infektion beginnt mutmaßlich mit einer Phishing-E-Mail, die eine ZIP-Datei mit einer LNK-Datei namens "Report-41952.lnk" enthält. Sobald sie ausgeführt wird, startet sie die Angriffskette und lädt den Schadcode direkt aus dem Netz in den Speicher. In den von den Forschern analysierten Beispielen war diese als Installationsprogramm von Midjourney oder Nvidia getarnt. Weil sie die Erstellung neuer Prozesse vermeidet, ist diese neue Version der Malware laut der Forscher noch unauffälliger zuvor. Die Forscher haben eine Liste mit sogenannten Indicators of Compromise (IoC) auf GitHub veröffentlicht, anhand der sich überprüfen lässt, ob eigene Systeme befallen wurden.

Die nach dem sympathischen Insekt benannte Malware war im März 2022 erstmals von Googles Threat Analysis Group (TAG) gesichtet worden, sie nutzte den Namen "Bumblebee" als Teil des User-Agents im Referer. Damals stellten IT-Sicherheitsexperten erstmals fest, dass Cyberkriminelle, die vormals vornehmlich eine andere Malware namens BazarLoader oder alternativ IcedID nutzten, vielfach auf den Bumblebee-Loader umgestiegen waren. Derartige Malware wird auch Dropper genannt. Dabei handelt es sich um ein Paket mit einem Virus, der ein System befällt, um dann weitere Schadsoftware nachzuladen. Der Dropper dient dabei quasi als Träger für das Virus. Es wird davon ausgegangen, dass der Bumblebee-Loader von der Trickbot-Ransomware-Gruppe entwickelt wurde, um bei Ransomware-Angriffen initialen Zugriff auf die Infrastruktur ihrer Opfer zu erlangen.

Im Jahr 2023 kam die Bumblebee-Malware dann in Malvertising-Kampagnen zum Einsatz. Die Angreifer haben damit trojanisierte Installationsprogramme für professionelle Software angeboten. Diese Malware-Pakete haben sie mittels SEO-Poisoning und Malvertising auf Suchmaschinen platziert.

Vor zwei Wochen hat der Bundestag erstmals über das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz beraten. Fachleute gehen davon aus, dass die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) im Frühjahr 2025 in Deutschland in Kraft tritt – eigentlich endete die Umsetzungsfrist am 18. Oktober 2024.

Anzeige

Betroffene Unternehmen müssen ein Informationssicherheitsmanagementsystem (ISMS) einführen, technische Maßnahmen zur Erhöhung der Cybersicherheit treffen sowie Notfallpläne, Risikomanagement und Business Continuity Management implementieren. Bei Cybervorfällen bestehen Meldepflichten, außerdem nimmt NIS2 die Geschäftsführung für die IT-Sicherheit in die Pflicht.

NIS2 erweitert den Kreis der regulierten Unternehmen über kritische Infrastrukturen hinaus: Rund 29.000 Unternehmen in Deutschland unterliegen der NIS2-Regulierung. Indirekt betroffen sind zudem Zulieferer und Dienstleister dieser Unternehmen, denn NIS2 erfordert auch Maßnahmen zur Absicherung der Lieferkette.

In der Online-Konferenz NIS2 – was jetzt zu tun ist erläutern erfahrene IT-Recht- und Cybersecurity-Spezialisten welche Unternehmen betroffen sind, welche konkreten Anforderungen NIS2 stellt und welche Maßnahmen in welchen Fristen umzusetzen sind. Teilnehmende erfahren zudem, wie NIS2 mit etablierten Sicherheitskonzepten wie ISO 27001 und IT-Grundschutz zusammenspielt, was NIS2 für den Umgang mit Cybervorfällen bedeutet und wie sich die Richtlinie auf Zulieferer und IT-Dienstleister auswirkt.

In Firewall-Produkten von Cisco klaffen teils kritische Sicherheitslücken. Der Hersteller hat nun zahlreiche Sicherheitsmitteilungen mit zugehörigen Softwareaktualisierungen veröffentlicht, die die Probleme korrigieren sollen.

Anzeige

Auf der Übersichtsseite von Cisco zu Schwachstellenmeldungen haben die Entwickler in der Nacht zum Donnerstag 37 Mitteilungen eingestellt, lediglich eine davon aktualisiert eine Meldung aus dem November 2023. Drei der Sicherheitsmeldungen behandeln als kritisches Risiko eingestufte Sicherheitslücken, elf solche mit hohem Risiko, 21 als mittleren Bedrohungsgrad eingestufte Schwachstellen und eine weitere Meldung hat informativen Charakter ohne Risikobewertung.

Die Schwachstellen betreffen etwa Ciscos Firepower Threat Defense Software, die Secure Firewall Management Center-Software oder die Adaptive Security Appliances von Cisco. IT-Verantwortliche sollten prüfen, ob sie verwundbare Produkte einsetzen und bereitstehende Aktualisierungen anwenden oder gegebenenfalls verfügbare Workarounds anwenden.

Die Auflistung der als kritisch respektive hochriskant eingestuften Sicherheitsmitteilungen:

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel Active Directory: Effiziente Absicherung lernen Sie die wichtigsten Angriffstechniken wie Pass the Hash und Delegierungsschwachstellen kennen. Sie erfahren, wie Sie mit Werkzeugen wie PowerView und Bloodhound sowie Audit-Tools wie PingCastle Fehlkonfigurationen und Schwachstellen in Ihrem lokalen AD identifizieren und anschließend beheben, um das Herzstück Ihrer IT effektiv gegen Angriffe zu schützen.

Anzeige

Referent des zweitägigen Workshops ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München.

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Angriffe auf und Absicherung von Entra ID.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf eine Sicherheitslücke in Microsofts Sharepoint-Server. Updates zum Schließen der missbrauchten Schwachstelle stehen bereit, die IT-Verantwortliche spätestens jetzt installieren sollten.

Anzeige

Die CISA schreibt in einer Mitteilung, dass sie die Schwachstelle CVE-2024-38094 in den Known-Exploited-Vulnerabilities-Katalog aufgenommen hat. Wie die Angriffe aussehen, die auf die Lücke beobachtet wurden, oder in welchem Ausmaß sie vorkommen und wie IT-Verantwortliche Attacken darauf erkennen können, erörtert die Behörde – wie üblich – nicht.

Bei der Sharepoint-Sicherheitslücke handelt es sich um eine nicht näher erläuterte "Deserialisierung nicht vertrauenswürdiger Daten", wie Microsoft in einer eigenen Sicherheitsmitteilung schreibt. "Authentifizierte Angreifer mit Site-Owner-Berechtigung können die Schwachstelle missbrauchen, um beliebigen Code einzuschleusen und diesen Code im Kontext des Sharepoint-Servers ausführen", schreiben die Redmonder Entwickler, und ordnen dem Leck mit einem CVSS-Wert von 7.2 ein hohes Risiko zu. "Ein Missbrauch ist eher wahrscheinlich", findet sich als Einschätzung in Microsofts Mitteilung.

Betroffen sind die Microsoft Sharepoint Server Subscription Edition, der Microsoft Sharepoint Server 2019 sowie Microsoft Sharepoint Enterprise Server 2016, gibt Microsoft in dem Advisory an. Der CVE-Eintrag listet noch genauer betroffene Build-Nummern auf, der Sharepoint Enterprise Server 2016 ist von Version 16.0.0 bis vor Fassung 16.0.5456.1000 anfällig, der Sharepoint Server 2019 von 16.0.0 bis vor Version 16.0.10412.20001 und die Subscription Edition von 16.0.0 bis vor Stand 16.0.17328.20424, wobei die jeweils letzteren die Lücken schließen.

Fortinet hat eine Sicherheitsmitteilung zu einer kritischen Sicherheitslücke in Fortimanager veröffentlicht. Es handelt sich um die Sicherheitslücke, die die Anfang der Woche bekannt gewordenen Aktualisierungen für Fortimanager abdichten. Sie werden bereits von Cyberkriminellen im Internet angegriffen, warnt nun auch die US-amerikanische Cybersicherheitsbehörde CISA, die die Lücke in den Known-Exploited-Vulnerabilities-Katalog aufgenommen hat.

Anzeige

Fortinet als registrierte CVE Numbering Authority (CNA) hat einen CVE-Eintrag für die Sicherheitslücke angelegt und veröffentlicht, CVE-2024-47575, mit einem CVSS-Wert von 9.8 als kritisches Risiko eingestuft. "Eine fehlende Authentifizierung in einer kritischen Funktion in Fortimanager [...] ermöglicht Angreifern, beliebigen Code oder beliebige Befehle mittels sorgsam präparierter Anfragen auszuführen", beschreibt der Hersteller die Sicherheitslücke.

Das CERT-Bund des BSI stuft die Sicherheitslücke abweichend sogar als maximal kritisch ein, mit einem CVSS-Wert von 10.0. Die Fortinet-Entwickler haben derweil einige Informationen zur Schwachstelle in einer Sicherheitsmitteilung gesammelt. Dort präzisiert das Unternehmen, dass die fehlende Authentifizierung den fgfmd-Daemon betreffen. Laut einer Erläuterung vom IT-Sicherheitsforscher Kevin Beaumont dient der Dienst dazu, FortiGate-Appliances im FortiManager zu registrieren.

Er sieht weitere Fehler in der Implementierung: Standardmäßig können sich beliebige Geräte, auch solche mit unbekannter Seriennummer, am FortiManager registrieren und zum verwalteten Gerät werden. Lediglich ein gültiges Zertifikat muss ein Client vorweisen, wobei ein beliebiges einer FortiGate-Appliance genutzt werden kann, was keine echte Hürde darstelle. Nach der Registrierung kommt eine Schwachstelle auf dem FortiManager selbst zum Tragen, die Angreifern das Ausführen beliebigen Codes erlaubt, über die "gefälschte" FortiGate-Verbindung. Da der FortiManager weitere FortiGate-Firewalls verwaltet, können Angreifer auf diese zugreifen, Konfigurationen einsehen, verändern oder Zugangsdaten übernehmen. Beaumont ergänzt, dass Managed Service Provides oftmals FortiManager einsetzen und Angreifer so in Netzwerke derer Kunden eindringen können.

Sicherheitslücken in der Bibliothek OpenSSL betreffen meist das gesamte Internet. Schließlich dient die Sammlung von Verschlüsselungsfunktionen vielen Anwendungen als Grundlage für Protokolle wie HTTPS. Dass das Projekt für eine Sicherheitslücke mit Potenzial zur Code-Ausführung vorerst keine Patches veröffentlicht, lässt aufhorchen. Tatsächlich haben die Entwickler gute Gründe – die Warnungen anderer Sicherheitsteams sind hingegen aus formalen Gründen alarmistischer.

Anzeige

Der Sicherheitshinweis des OpenSSL-Entwicklerteams, der kürzlich auf verschiedenen Mailinglisten auftauchte, las sich wie ein Routinefall. Durch die Wahl bestimmter Parameter bei der Verschlüsselung mit einer speziellen Gruppe elliptischer Kurven entsteht unter Umständen ein Szenario, in dem unzulässige Lese- und Schreiboperationen im Hauptspeicher zu Abstürzen führen können. Auch die Ausführung von Schadcode können die OpenSSL-Entwickler nicht ausschließen.

Das Risiko der Lücke mit der CVE-ID CVE-2024-9143 schätzten sie als niedrig ein, weil der Fehler schwierig auszunutzen sei. Nur Anwendungen, die exotische Parameter für die elliptische Kurve (GF(2m)) aus Nutzereingaben verwenden, sind theoretisch angreifbar – das OpenSSL-Team sah daher davon ab, Notfallpatches für die Lücke zu veröffentlichen. Sie besteht in den OpenSSL-Versionen 3.3, 3.2, 3.1., 3.0, 1.1.1 und 1.0.2 und soll in den bisher nicht erschienenen Versionen 3.3.3, 3.2.4, 3.1.8, 1.0.16, 1.1.1zb und 1.0.2zl behoben werden.

Sowohl der Linux-Distributor SuSE als auch das Computer Emergency Response Team für Bundesbehörden (CERT-Bund) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzten die Risiken jedoch anders ein: SuSE vergab einen CVSS-Wert von 7 (Risiko: hoch), CERT-Bund gar 8,1 von 10 Punkten. Auf die Diskrepanz angesprochen, erklärte Johannes Segitz aus dem SuSE-Sicherheitsteam gegenüber heise Security, die CVSS-Skala tue sich mit der Angriffswahrscheinlichkeit schwer. Sie gehe stets von einem Worst-Case-Szenario aus, was den hohen Punktwert erkläre.