Comretix Blog

Der IT-Sicherheitstag in Gelsenkirchen steht am 21. November unter dem Motto "Cybersicherheit: Komplexität managen". Er bietet Sicherheitsverantwortlichen, IT- und Security-Experten ein abwechslungsreiches Programm aus Vorträgen und Diskussionrunden rund um die vielschichtigen Themen moderner Informationssicherheit.

Anzeige

Die Vorträge decken eine breite Palette der Fragestellungen ab, denen sich Sicherheitsverantwortliche stellen müssen. Die Titel der einzelnen Vorträge lauten:

Die Veranstalter lassen ausreichend Raum zur Vernetzung der Teilnehmer untereinander und mit den Referenten. In Diskussionsrunden, aber auch abseits des Programms in Kaffeepausen und dem abschließenden Get-Together bleibt reichlich Zeit, um fachzusimpeln und offene Fragen zu komplexen IT-Sicherheitsthemen zu vertiefen.

In einer Panel-Diskussion tauschen sich zudem CISOs und Sicherheitsmanager zum Thema "IT Sicherheit in Deutschland – wie komplex ist die gesetzliche und technische Situation im internationalen Vergleich?" aus.

Dystopische Szenen spielten sich unlängst in US-amerikanischen Wohnzimmern ab: Innerhalb weniger Tage gelang es Cyberangreifern wiederholt, aus der Ferne die komplette Kontrolle über Saugroboter in mehreren Städten zu erlangen. Die Täter überzogen daraufhin die Bewohner über die eingebauten Lautsprecher schreiend mit Obszönitäten und rassistischen Beschimpfungen inklusive des F- und des N-Wortes. Das Problem betrifft laut einem Bericht des US-Senders ABC insbesondere das Modell Deebot X2 des chinesischen Herstellers Ecovacs, dessen Geräte seit Längerem als notorisch unsicher gelten.

Anzeige

Neben den Sicherheitslücken steht der Hersteller in der Kritik, angeblich mit vom Saugroboter erfassten Daten die KI des Unternehmens zu trainieren. Selbst von Nutzern gelöschte Aufnahmen sollen im Unternehmen gespeichert und genutzt worden sein. Diese Möglichkeiten zur Audio- und Bilddatenerfassung der Geräte haben nun offenbar auch die Cyberkriminellen entdeckt und genutzt.

Zu den Betroffenen gehört laut ABC die Familie des Anwalts Daniel Swenson aus Minnesota. Er sah demnach an einem Tag im Mai fern, als sein Saugroboter seltsame Geräusche von sich gab. "Es klang wie ein unterbrochenes Funksignal oder so etwas", sagte er dem Sender. "Man konnte vielleicht Stimmfetzen hören." Über die Ecovacs-App sah er, dass ein Fremder auf die Live-Kameraübertragung und die Fernsteuerungsfunktion zugegriffen hatte. Swenson hielt es für eine Panne, setzte sein Passwort zurück, startete den Bot neu und setzte sich wieder neben seine Frau und seinen 13-jährigen Sohn auf die Couch. Doch das Gerät regte sich sofort wieder und diesmal waren die rassischen Beleidigungen unüberhörbar.

Trotz der lautstarken Ansprache war Swenson dem Bericht zufolge froh, dass die Angreifer ihre "Anwesenheit" zumindest deutlich ankündigten. Es wäre viel schlimmer gewesen, gab er zu bedenken, wenn sie beschlossen hätten, seine Familie heimlich in ihrem Haus zu beobachten. Der Saugroboter landete dann abgeschaltet in der Garage.

Nach einem Angriff auf das Gedächtnis des Internets bleibt Internet Archive vorerst offline. Das ist eine bewusste Entscheidung und kein Hinweis auf eine durch die Attacke hervorgerufene Fehlfunktion. Das geht aus Postings des Gründers der Plattform, Brewster Kahle, auf Social-Media-Diensten hervor.

Anzeige

Auf X etwa schreibt er, die Dienste seien offline, um "untersucht und gestärkt" zu werden. Die archivierten Daten seien dabei sicher. Dieser Hinweis ist besonders wichtig, weil bei dem digitalen Einbruch in die Systeme von archive.org auch rund 30 Millionen gehashte Passwörter von Benutzerkonten erbeutet wurden. Es war nicht auszuschließen, dass auch Inhalte des Archivs geändert worden sein könnten.

Kurz nachdem die Attacke bekannt geworden war, gab es einen DDoS-Angriff auf die Plattform, sodass viele Nutzer nicht unmittelbar ein neues Passwort setzen konnten. Der Einbruch sowie eine zwischenzeitlich vom Archiv dargestellte merkwürdige Fehlermeldung und die DDoS-Attacke scheinen nicht unmittelbar zusammenzuhängen. Den gesamten Ablauf schildert eine frühere Meldung.

Laut Brewster Kahle sollen die Reparaturarbeiten noch einige Tage, nicht aber Wochen andauern. Derzeit zeigt die Startseite von archive.org nur einen Hinweis auf den Offline-Zustand des Projekts samt Verweis auf die Postings von Kahle. Klickt man einen der zahlreich im Internet verfügbaren Direktlinks zu Inhalten der Seite an, gibt es jedoch eine Timeout-Fehlermeldung des Browsers ohne weiteren Hinweis. Für viele Nutzer dürfte der auch als "Wayback Machine" bekannte Dienst damit von außen schlicht als defekt erscheinen.

Hacken wie die Hacker: Im iX-Workshop Sich selbst hacken - Pentesting mit Open-Source-Werkzeugen lernen Sie, wie Angreifer vorgehen, um Fehlkonfigurationen und andere Schwachstellen in der Unternehmens-IT aufzuspüren und auszunutzen. Mit den gewonnenen Erkenntnissen fällt es Ihnen leichter, Ihre eigenen Systeme effektiv abzusichern.

Anzeige

Unter dem Stichwort OSINT (Open Source Intelligence) lernen Sie zunächst jene Techniken kennen, mit deren Hilfe sich öffentlich verfügbare Informationen über eine Organisation oder ein Unternehmen sammeln und auswerten lassen - und damit auch mögliche Hintertüren ins System, wie etwa kompromittierte Passwörter. Mit verschiedenen frei verfügbaren Open Source-Werkzeugen und Audit-Tools können im nächsten Schritt Untersuchungen auf Netzwerkebene durchgeführt, Web-Applikationen überprüft oder auch Möglichkeiten der Privilegien-Eskalation unter Windows und Linux aufgedeckt werden.

Ein Schwerpunkt des Workshops liegt auf der Überprüfung von Microsofts zentralem Verzeichnisdienst Active Directory, da dieser ein beliebtes Angriffsziel für Hacker ist. Erfahren Sie, wie Sie Schwachstellen in diesem zentralen Element der Unternehmens-IT aufdecken und gezielt beheben können. Ebenso kommen Maßnahmen wie die Implementierung einer Mehr-Faktor-Authentifizierung und die differenzierte Vergabe von Berechtigungen zur Sprache, um Ihre IT-Systeme effektiv abzusichern.

Als Referent steht Ihnen Philipp Löw, erfahrener Pentester bei der Oneconsult Deutschland AG, zur Verfügung. Profitieren Sie in diesem spannenden Workshop, von seinem Fachwissen und seinen praktischen Erfahrungen.

Schadhafte Chrome-Erweiterungen finden ihren Weg in den Chrome Web Store – ungeachtet der verbesserten Security- und Datenschutzeinstellungen von Manifest V3, der API, mit der Browsererweiterungen in Googles Chrome-Browser laufen. Obwohl die aktuelle API-Version in dieser Hinsicht verglichen mit V2 verbessert wurde, hat sie offenbar immer noch zu viele laxe Berechtigungen.

Anzeige

Wie das IT-Newsportal Dark Reading berichtet, haben Sicherheitsforscher der Firma SquareX auf der Hackerkonferenz DefCon 32 demonstriert, wie sich solche schadhaften Erweiterungen einfach an den Schutzvorkehrungen vorbeischmuggeln lassen. Diese können dann Videomaterial von Konferenzplattformen wie Google Meet oder Zoom stehlen, ohne dass dafür besondere Berechtigungen nötig wären.

Weiter zeigten die Forscher, wie derartige Manifest-V3-basierte Browsererweiterungen es Angreifern ermöglichen, Daten, Browserhistorie und Session Cookies zu stehlen, Nutzer auf schädliche Webseiten umzuleiten oder Mitwirkende zu privaten Github-Repositiories hinzuzufügen.

Vivek Ramachandran, Gründer und CEO von SquareX, warnt, dass Browser-Erweiterungen ein blinder Fleck für die Sicherheitstechnologien von Endpoint Detection and Response (EDR) beziehungsweise Extended Detection and Response (XDR) seien. Mitarbeiter würden sie von Sicherheitsvorkehrungen unbemerkt installieren. Angreifer könnten sie nutzen, um sich Zugriff auf interne Systeme und Daten eines Unternehmens zu verschaffen. Ohne dynamische Analysen und die Durchsetzung strenger Sicherheitsrichtlinien sei es Unternehmen nicht möglich, solche Angriffe zu erkennen und zu blockieren. Googles Manifest V3 sei zwar gut gemeint, aber weit davon entfernt, wirklich für Sicherheit zu sorgen.

Vor nahezu leeren Sitzreihen hat der Bundestag am heutigen Freitag erstmals über das Umsetzungs- und Cybersicherheitsstärkungsgesetz der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) beraten – eine Woche vor Ablauf der Umsetzungsfrist. Die EU-Richtlinie NIS2 müsste nämlich bis zum 18. Oktober in nationales Recht umgesetzt werden. Deutschland wird diesen Termin reißen – derzeit geht man davon aus, dass NIS2 in Deutschland erst im Frühjahr 2025 wirksam wird.

Anzeige

Johannes Saathoff, parlamentarischer Staatssekretär im Innenministerium, fasste die wesentlichen Vorgaben von NIS2 zusammen: ein definiertes Niveau an Sicherheitsmaßnahmen und Meldepflichten bei Cybersicherheitsvorfällen. NIS2 weite die Zahl der Unternehmen, die bei der Cybersicherheit staatlichen Auflagen unterliegen, von derzeit 4500 kritischen Infrastrukturen auf rund 29.500 Unternehmen aus 18 Sektoren aus.

Obwohl es 2023 durch Cybervorfälle in der Wirtschaft Rekordschäden von 267 Milliarden Euro gegeben habe, sei das Problem noch nicht in allen Vorstandsetagen angekommen: "Cyberresilienz muss in die Köpfe kommen." Es sei daher richtig, dass die NIS2-Richtlinie die Unternehmensführung in die Pflicht nimmt.

Außerdem soll die deutsche NIS2-Umsetzung die Cybersicherheit der Bundesverwaltung stärken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll mehr Befugnisse erhalten und zu einer zentralen Sicherheitsbehörde weiterentwickelt werden. Zudem sollen Bund und Länder enger zusammenarbeiten.

Die oberste US-IT-Sicherheitsbehörde hat 21 Sicherheitsmeldungen zu Schwachstellen in industriellen Kontrollsystemen (ICS; IoT) veröffentlicht. Zahlreiche Produkte der Hersteller Delta Electronics, Schneider, Siemens und Rockwell Automation finden sich darunter.

Anzeige

Die CISA erläutert in ihrer Sicherheitsmitteilung, dass die einzelnen Security-Advisories Informationen zu Sicherheitsproblemen, Schwachstellen sowie Exploits "rund um ICS" (Industrial Control Systems) enthalten. Die einzelnen Sicherheitslücken betreffen in der Regel eine ganze Reihe von Geräten. Der Schweregrad variiert: Während einige Schwachstellen die Risikobewertung mittel erhalten, finden sich viele als hochriskant oder gar einige als kritisches Risiko eingestufte Sicherheitslecks in den IoT-Geräten.

Etwa eine kritische Sicherheitslücke in Siemens Sentron 7KM PAC3200 soll keinen Sicherheitsfix erhalten, Administratoren sollen beispielsweise eine PIN als Schutz vor nicht autorisierten Operationen einrichten. Die Mitteilungen enthalten weitergehende Informationen, erörtern, ob Updates geplant oder vorhanden sind und gehen auf gegebenenfalls verfügbare Workarounds ein. Weiterreichende Hinweise der Hersteller stellt die CISA in den Advisories ebenfalls bereit.

Die Liste der Produkte mit Sicherheitslücken ist recht lang:

Das Tails-Projekt hat Version 6.8.1 der anonymisierenden Linux-Distribution für den USB-Stick veröffentlicht. Sie korrigiert eine kritische Sicherheitslücke im Firefox-Browser, der als Basis für Tor zum Einsatz kommt.

Anzeige

Diese kritische Sicherheitslücke in dem Webbrowser (und Thunderbird) wird bereits in freier Wildbahn angegriffen. Tails-Nutzerinnen und -Nutzer sollten daher umgehend die aktualisierte Fassung herunterladen und ihre USB-Sticks auf neuen Stand bringen.

Das Sicherheitsupdate ist die einzige Änderung in Tails 6.8.1. Der Tor Browser kommt darin auf dem fehlerbereinigten Stand 13.5.7 zum Einsatz. Das in der Nacht zum Mittwoch erschienene Tails 6.8 hingegen hat einige Änderungen mehr zu bieten. Die Entwickler schreiben, dass beim Entsperren des persistenten Speichers erkannte Dateisystemfehler nun repariert werden können. Es lassen sich jedoch nicht alle Dateisystemfehler sicher ausbessern, weshalb sie auch eine ausführlichere Dokumentation mit weiteren Lösungsmöglichkeiten erstellt haben.

Sofern eine Netzwerkschnittstelle deaktiviert wird, da sich die MAC-Adresse nicht anonymisieren lässt, erscheint nun eine verbesserte Benachrichtigung darüber. Die maximale Wartezeit für das Entsperren des persistenten Speichers haben die Entwickler auf acht Minuten angehoben, bevor Tails eine Fehlermeldung ausspuckt. Wenn ausgewählt wurde, das Passwort beim Eingeben anzuzeigen, versteckt Tails es nun dennoch während des laufenden Entsperrvorgangs. Sollte dieser länger dauern, erhalten Unbefugte keinen Einblick.

Die Niederlande sehen sich mit einem unerwarteten Großprojekt konfrontiert: Sie müssen Zehntausende Ampelanlagen austauschen. Grund ist eine Sicherheitslücke im Funksystem der Schaltungskästen, mit der Angreifer die Verkehrszeichen fernsteuern können. Ein Sicherheitsforscher hatte die Lücke kürzlich auf einer Konferenz vorgestellt, nun handeln die Behörden.

Anzeige

Es klingt wie eine Filmszene aus einem Hollywood-Actionfilm: Per Knopfdruck schaltet ein Hacker im Auftrag einer Gangsterbande alle Ampeln in einer Stadt auf Grün und verursacht damit ein Verkehrschaos. In den Niederlanden könnte das tatsächlich eintreten, befürchten niederländische Experten. Schuld ist ein Kurzstreckenfunksystem namens KAR ("Korteafstandsradio"), das die Fernsteuerung von Ampeln erlaubt. So können Rettungskräfte, aber auch Busse Ampeln auf ihrer Route umschalten und so schneller vorankommen.

Supply-Chain-Angriffe, regulatorische Herausforderungen und neue technologische Entwicklungen – im neuen Report "The State of Software Supply Chain" hat Sonatype, Anbieter von Anwendungen für das Supply-Chain-Management, über sieben Millionen Open-Source-Projekte analysiert und Trends sowie Herausforderungen herausgearbeitet.

Anzeige

Mit inzwischen über 6,6 Billionen Downloads an Open-Source-Komponenten pro Jahr und dem Umstand, dass quelloffene Pakete inzwischen bis zu 90 Prozent moderner Softwareanwendungen ausmachen, sind Entwicklerinnen und Entwickler mit neuen Herausforderungen konfrontiert. Besonders rund um JavaScript (npm-Pakete) und Python (PyPi-Bibliotheken) führt die steigende Zahl an Abfragen und Abhängigkeiten zu einem über die letzten Jahre gestiegenem Risiko von Malware und Supply-Chain-Angriffen, also das Einschleusen von bösartigem Code. Letztere können Code-Repositorys, Build-Systeme und Distributionskanäle betreffen.

Tatsächlich identifiziert der Report allein für das vergangene Jahr über 512,000 verdächtige Pakete im OSS-Ökosystem, was über die letzten Jahre betrachtet einem Anstieg von rund 156 Prozent von Jahr zu Jahr entspricht.

Bis zu 4,5 Milliarden npm-Pakete pro Jahr verdeutlichen die Verbreitung quelloffener Komponenten in der Software Supply Chain.

Juniper Networks hat einen ganzen Schwung an Sicherheitsmitteilungen veröffentlicht und veranstaltet eine Art Patchday. Zu den Advisories gehörende Patches dichten mehr als 30 Sicherheitslücken ab.

Anzeige

Die Auflistung der aktuellen Security-Bulletins von Juniper Networks enthält gleich mehrere Security-Bulletins, die etwa Probleme mit dem Border Gateway Protocol (BGP) betreffen. Die Auswirkungen reichen von Denial-of-Service-Situationen hin zur Ausführung von untergeschobenen Befehlen oder Schadcode.

Von den Sicherheitslücken gilt eine in Junos OS als kritisches Risiko. Sie betrifft die mitgelieferte Open-Source-Software nginx. Eine der nginx-Lücken erreicht einen CVSS-Wert von 9.8, erörtern die Autoren der Warnung von Juniper. 13 weitere Sicherheitsmitteilungen behandeln Schwachstellen, die die Entwickler des Herstellers als hohes Risiko einstufen.

IT-Verantwortliche mit Juniper-Networks-Hardware in ihrer Organisation sollten die Liste der Security-Bulletins prüfen, ob die eingesetzten Geräte oder Software-Versionen von den Sicherheitslücken betroffen sind. In den einzelnen Mitteilungen nennt Juniper Networks die verwundbaren Versionen und ab welcher Fassung die Sicherheitslecks gestopft sind. Die zugehörigen Aktualisierungen sollten Admins zügig herunterladen und installieren, um die Angriffsfläche in ihren Netzwerken zu reduzieren. Teils nennt Juniper auch temporäre Gegenmaßnahmen in den Sicherheitsmitteilungen, die das Risiko reduzieren helfen, sollten Updates nicht unmittelbar installierbar sein.

Wer glaubt, NTLM sei erledigt, irrt. Angreifer nutzen dessen Sicherheitslücken immer noch routinemäßig aus, um Windows-Netze zu attackieren. Denn obwohl Microsoft diese Authentifizierungsverfahren selbst als veraltet erklärt, wird es wohl noch Jahre dauern, bis sie die endgültig abschalten. Und bis dahin müssen sich Admins mit den Gefahren herumschlagen, die sich daraus ergeben und ihre Netze gezielt dagegen absichern.

Anzeige

Dabei hilft Ihnen das heise security Webinar NTLM: Microsofts Erbsünde und wie Admins damit sinnvoll umgehen. Es erklärt die konzeptionellen Schwächen von NTLM, zeigt, wie Angreifer diese konkret ausnutzen und stellt schließlich Konzepte vor, wie Admins das verhindern können. Dabei diskutiert der Referent Frank Ully insbesondere auch, welche Probleme man sich mit den verschiedenen Maßnahmen einhandelt und wie man damit dann wieder umgehen kann. Der praxisorientierte Vortrag mündet schließlich in ein Konzept, wie Sie Ihr Windows-Netz schrittweise absichern und dabei die trotzdem vorhandenen Restrisiken weitestmöglich einschränken

Das Webinar findet statt am Mittwoch, dem 16. Oktober 2024 und dauert circa zwei Stunden, in denen auch viel Raum für Fragen der Teilnehmer vorgesehen ist. Wie bei allen heise security Events ist die Veranstaltung komplett werbefrei und unabhängig. Sie richtet sich vor allem an Administratoren und Sicherheitsverantwortliche in Unternehmen und Behörden aller Größen. Die Teilnahme kostet 145 Euro; Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen (ihr erhaltet die Informationen dazu wie üblich über den exklusiven Security-Newsletter und im neuen PRO-Forum).

Weitere Informationen zum Webinar und die Möglichkeit sich anzumelden gibt es auf der Webseite zu:

Qualcomm hat eine Zero-Day-Sicherheitslücke bei einer Reihe von Mobilprozessoren und Funktechnikchips bestätigt, die von böswilligen Angreifern bereits ausgenutzt wird. Details gibt es bislang kaum, aber da viele der betroffenen Chips für Android-Smartphones und -Tablets schon einige Jahre auf dem Markt sind, könnte es etliche Angriffsversuche gegeben haben. Qualcomm geht allerdings von begrenzten und gezielten Angriffen aus.

Anzeige

Die bislang unbekannte Zero-Day-Lücke wird als CVE-2024-43047 geführt und könnte unberechtigten Zugriff auf den Speicher des Geräts ermöglichen. Qualcomm gibt der Schwachstelle eine hohe Sicherheitsbewertung, die US-Cybersicherheitsbehörde CISA stuft sie als kritisch ein. Nach Angaben Qualcomms wurde sie Ende Juli dieses Jahres entdeckt. Der Konzern hat seine Kunden Anfang September entsprechend informiert und einen Patch zur Verfügung gestellt, den die Hersteller der Android-Geräte ausspielen sollen.

Zu den von der Sicherheitslücke betroffenen Qualcomm-Plattformen zählen neben WLAN- und Bluetooth-Chips auch die bei Android-Smartphones vielfach genutzten Mobilprozessoren Snapdragon 660, 680, 685, 865, 870, 888 und 888+ sowie die Snapdragon 8 Gen 1 Mobilplattform. Der Snapdragon 660 wurde bereits 2017 eingeführt und war vor allem bei Smartphones der Mittelklasse chinesischer Hersteller wie Xiaomi sehr beliebt. Der Snapdragon 888+ war der High-End-Chip Qualcomms des Jahres 2021, im Jahr darauf ist der Snapdragon 8 Gen 1 erschienen.

Die Zero-Day-Lücke gefunden haben Googles Sicherheitsforscher der "Threat Analysis Group", die sich auf staatlich unterstützte Cyberattacken fokussiert, und das "Security Lab" der Menschenrechtsorganisation Amnesty International, das die Gesellschaft vor digitaler Überwaschung und Spyware schützen will. Beide Organisationen bestätigen, dass die Sicherheitslücke angegriffen wurde. Während Google den Angaben Qualcomms laut Techcrunch nichts hinzufügen wollte, verspricht Amnesty International, dass ein entsprechender Untersuchungsbericht in Kürze erscheinen wird.

Der Rat der Europäischen Union hat am Donnerstag den Cyber Resilience Act (CRA) beschlossen. Mit dem Votum der Innen- und Justizminister der EU-Staaten können die neuen Regelungen für mehr Sicherheit bei vernetzten Geräten in Kraft treten. Die EU will damit erreichen, dass mit dem Netz verbundene Geräte von Computern über Kaffeemaschinen bis zu Babyphones besser gegen Cyberangriffe geschützt werden.

Anzeige

"Vernetzte Produkte erleichtern unseren Alltag, können aber auch von Kriminellen ausgenutzt werden. Deshalb müssen sie sicher sein", sagte Bundesinnenministerin Nancy Faeser (SPD). Verbraucher müssten sich darauf verlassen können, dass vernetzte Geräte im Haushalt kein Sicherheitsrisiko darstellten.

Die neue Verordnung verpflichtet Hersteller, Importeure und den Handel. Produkte, die das bekannte CE-Kennzeichen tragen, müssen künftig auch gegen IT-Angriffe gesichert sein. Zudem müssen Hersteller IT-Schwachstellen und -vorfälle einer zentralen Meldestelle berichten und regelmäßig Sicherheitsupdates anbieten.

Die Hersteller sollen dafür sorgen, "dass alle Produkte mit digitalen Elementen" sowie einer "logischen oder physischen Datenverbindung" im Einklang mit den in der Verordnung formulierten "grundlegenden Cybersicherheitsanforderungen konzipiert und entwickelt werden". Das betrifft ein breites Portfolio von Haushaltsgeräten, Computer-Hardware, Unterhaltungselektronik, Software und Cloud-Lösungen.

Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt davor, dass derzeit ältere Sicherheitslücken in mehreren Fortinet-Produkten angegriffen werden. Sie hat die Sicherheitslücke in den Known-Exploited-Vulnerabilities-Katalog aufgenommen. Das verpflichtet US-Behörden zum zeitnahen Handeln, sollte aber auch für hiesige Organisationen ein Weckruf sein.

Anzeige

In der Warnung der CISA findet sich lediglich ein Hinweis auf die Sicherheitslücken, auf die Angriffe beobachtet wurden. Neben den bereits seit Mittwoch dieser Woche bekannten missbrauchten Lücken in Ivantis CSA warnt die Behörde vor einer Format-String-Schwachsstelle in mehreren Fortinet-Produkten, auf die Cyberkriminelle es derzeit offenbar abgesehen haben.

Wie die Angriffe aussehen und wie Betroffene erfolgreiche Attacken erkennen können, erörtert die CISA wie üblich nicht. Jedoch ist die Lücke selbst bekannt, es geht um die Schwachstelle CVE-2024-23113, mit einem CVSS-Wert 9.8 als "kritisches" Risiko eingestuft. Die Sicherheitslücke geht auf eine Umwandlung von extern kontrollierbaren Eingaben mittels sogenannter Format-String-Funktionen in von der Software weiter verarbeitete Daten zurück. Mittels speziell präparierter Netzwerkpakete können Angreifer dadurch unbefugt Schadcode oder Befehle einschleusen.

Fortinet hat in der zugehörigen Sicherheitsmitteilung betroffene Produkte und die Versionen aufgezählt, die den Fehler korrigieren. IT-Verantwortliche sollten schleunigst auf mindestens die nachfolgend genannten, besser jedoch auf den aktuell verfügbaren Softwarestand aktualisieren. Die Lücke beseitigen FortiOS 7.4.3, 7.2.7 und 7.0.14, FortiPAM in einer nicht genauer genannten Version, wobei FortiPAM 1.3 nicht betroffen sein soll, FortiProxy 7.4.3, 7.2.9 sowie 7.0.16 und schließlich FortiWeb 7.4.3.

Nach dem Ende des Geschäftsbetriebs in den USA wickelt Kaspersky nun auch das Geschäft im Vereinigten Königreich ab. Medienberichten zufolge müssen die "weniger als 50 Mitarbeiter" des Londoner Büros gehen.

Anzeige

Gegenüber heise online bestätigte Kaspersky den Schritt. "Kaspersky wird den Betrieb der britischen Niederlassung abwickeln", erklärt das Unternehmen. Der Geschäftsbetrieb in dem Land soll sich auf den Partnerkanal umorientieren. "Dieser Schritt ermöglicht unserem Unternehmen, vorhandene Geschäftsmöglichkeiten im britischen Markt effizienter zu nutzen und den geschäftlichen Wohlstand zu stärken", führt Kaspersky aus.

Wie das Unternehmen weiter erklärt, erhalten Kunden und Partner im Vereinigten Königreich vollen Zugang zum europäischen Team von Kaspersky und dessen Partnernetzwerk. "Dadurch werden wir weiterhin Kasperskys Cyber-Security-Produkte und -Dienste anbieten."

Demnach bleibe die europäische Region ein Schlüsselmarkt. Die aktuellen Änderungen spiegelten Kasperskys Konzentration auf geschäftlichen Erfolg und Profitabilität wider. Das sei die Schlüsselstrategie des Unternehmens für die künftige Geschäftsentwicklung.

Apple hat in der Nacht zum 4. Oktober mit macOS 15.0.1 einen schwerwiegenden Bug behoben, der zu Netzwerkunterbrechungen führen konnte, wenn auf dem Rechner bestimmte Arten von Sicherheitswerkzeugen installiert waren. Inzwischen ist klarer geworden, woran es lag. Außerdem wurde bekannt, dass es schon vor dem Golden-Master-Release von macOS 15 einen entsprechenden Bugreport gegeben haben soll – auf den hin Apple zunächst nichts unternahm.

Anzeige

Im Beipackzettel von macOS 15.0.1 heißt es nur treuherzig, das Update verbessere "die Kompatibilität mit Sicherheitssoftware Dritter". Dass diese Kompatibilität vor Sequoia gegeben war, steht da nicht. Bis zum Fix hatte es zuvor gut drei Wochen gedauert. Der Sicherheitsexperte Patrick Wardle fand heraus, dass der Fehler offenbar schon Wochen vorher bei Apple angelandet war. "Jeder Apple-Apologet, der Drittanbieter beschuldigt, verdient es, mit einer großen Forelle geschlagen zu werden, da dies ein Apple-Bug war, der vor GM gemeldet wurde", schreibt er auf X.

Wie es zu dieser Ignoranz kam, bleibt unklar. In der Praxis bedeutete der Bug, dass bestimmte Verbindungstypen bei aktiven Netzwerkfiltern (über Apples Network-Extension-Framework, das die Sicherheitswerkzeuge nutzen) zu Abbrüchen auf TCP-Ebene kam – womöglich, weil diese abstürzen. Das galt sogar für ssh via Terminal, aber auch für andere Routinen. Bei ssh wurden etwa Fehlermeldungen wie "Connection corrupted" oder "Wrong Key Size" ausgespuckt. Ohne Netzwerkfilter arbeiteten die Verbindungen. Betroffen waren zahlreiche Sicherheits-Apps, die besonders im Geschäftsumfeld eingesetzt werden – jene von SentinelOne, Microsoft, ESET und CrowdStrike etwa. Auch Little Snitch hatte Schwierigkeiten.

Mit macOS 15.0.1 scheint es Apple nun gelungen zu sein, die Netzwerkfilter via Network Extensions (wieder) stabiler zu machen, sodass Verbindungsabbrüche nicht mehr auftreten. Ein weiteres Problem mit der App-Firewall wird in Apples Beipackzettel nicht erwähnt. Dabei wurden einlaufende UDP-Pakete rückstandsfrei entsorgt, was zu DNS-Fehlern führte.

Im Webbrowser Firefox klafft eine Sicherheitslücke, die bereits aktiv in freier Wildbahn angegriffen wird. Aktualisierte Browser-Versionen stopfen das Sicherheitsleck.

Anzeige

Die Mozilla-Entwickler warnen in einer Sicherheitsmitteilung, dass es sich um eine Schwachstelle in Zeitleisten von Animationen handelt. Durch eine Use-after-free-Lücke haben Angreifer in der Inhaltsverarbeitung (content process) Code einschleusen und ausführen können (CVE-2024-9680, noch kein CVSS-Wert, Einstufung durch Mozilla-Programmierer als "kritisch"). Bei diesem Schwachstellentyp greift der Programmcode auf Ressourcen zu, die bereits freigegeben wurden und deren Inhalte daher undefiniert sind. Das lässt sich häufig für Codeschmuggel missbrauchen.

Wie die Angriffe konkret aussehen und wie sich überprüfen lässt, ob der eigene Webbrowser angegriffen wurde, erörtern die Entwickler jedoch nicht. Betroffen sind laut Mozilla-Stiftung Firefox und Firefox ESR. Die Versionen 131.0.2 von Firefox sowie die ESR-Fassungen 128.3.1 und 115.16.1 stehen bereit, um die Lücken abzudichten. Thunderbird scheint nicht betroffen zu sein, zumindest erwähnt Mozilla das Mailprogramm nicht.

Der Versionsdialog von Firefox findet und installiert die aktualisierte Software. Der findet sich nach Klick auf das Einstellungsmenü, das sich hinter dem Symbol mit den drei horizontalen Strichen rechts von der Adressleiste verbirgt, und den weiteren Weg über "Hilfe" unter "Über Firefox".

Ohne Passwort einfach per Geräte-PIN, Fingerabdruck oder Gesichtsscan bei Webdiensten einloggen: Was vor zwei Jahren, als Apple das Konzept auf der Entwicklerkonferenz WWDC erstmals unter dem Namen Passkeys vorstellte, noch wie Zukunftsmusik klang, ist mittlerweile Realität. Passkeys, der FIDO2-basierte Anmeldestandard, der das Passwort als Default-Anmeldemethode im Internet mittelfristig ablösen soll, kommt in der Anwenderrealität an. Große Webdienste wie Google, PayPal oder Amazon bieten das sichere Anmeldeverfahren an, die großen Browser unterstützen es und sogar die Zahlungsdienstleister Visa und Mastercard machen mit und schützen Onlinezahlungen per Passkey.

Anzeige

"Apple Passwörter" ist seit iOS 18 und macOS 15 eine eigene App. Die höhere Sichtbarkeit des betriebssystemeigenen Passwortmanagers könnte der Verbreitung von Passkeys zugutekommen.

Trotzdem wird das passwortlose, Phishing-resistente Anmeldeverfahren noch lange nicht von der breiten Masse der Internetnutzer verwendet. Zum einen liegt das laut einer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführten Umfrage an der fehlenden Bekanntheit des Verfahrens. Zwar kannten 38 Prozent der Befragten den Begriff Passkeys, nur 18 Prozent gaben jedoch an, sie auch zu nutzen. Unter der Mehrheit der befragten Passkey-Nutzer, 72 Prozent, genießt das Verfahren immerhin ein hohes oder sehr hohes Vertrauen. Sie werten unter anderem die hohe Nutzungsfreundlichkeit positiv.