Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.
Categories
Tags
Authors
Teams
Archives
Categories:   All Categories
Suggested keywords
x

TeamViewer warnt vor schwerwiegenden Sicherheitslücken

TeamViewer hat eine Sicherheitswarnung für seine TeamViewer Remote Client-Software für Windows veröffentlicht. Darin beschreibt das Unternehmen zwei Schwachstellen in TeamViewer Remote und TeamViewer Tensor. Sie können es einem Angreifer erlauben, höhere Rechte als die des lokalen Nutzers zu erlangen.

Die Anfälligkeit basiert auf einer fehlerhaften Prüfung von kryptografischen Signaturen durch die TeamViewer_service.exe. Betroffen sind die Versionen 11, 12, 13, 14 und 15 der Fernwartungssoftware.

TeamViewer weist darauf hin, dass ein Angreifer einen lokalen Zugriff auf ein Windows-System benötigt. Entdeckt wurde die Lücke durch den Sicherheitsforscher Peter Gabaldon, der sie über Trend Micros Zero Day Initiative meldete.

Nutzern steht bereits ein Update auf TeamViewer Full Client 15.58.4 beziehungsweise TeamViewer Host 15.58.4 zur Verfügung. Darüber hinaus bietet das Unternehmen Updates für die noch unterstützten älteren Versionen beider Anwendungen an. Eine vollständige Liste stellt TeamViewer in seiner Sicherheitswarnung bereit.

Original Autor: Stefan Beiersmann

0
  921 Aufrufe
0 Kommentare

Studie: Deutschen Unternehmen fehlen Ressourcen für Cybersecurity

Trend Micro hat eine neue Studie zum Umgang mit Cyberrisiken in Unternehmen veröffentlicht. Demnach mangelt es Unternehmen an Ressourcen, um Cybersecurity rund um die Uhr zu gewährleisten. Zudem sind Geschäftsführungen oft nicht bereit, ihre digitale Angriffsfläche zu erfassen und zu minimieren.

Konkret verfügen laut Trend Micro nur 33 Prozent der befragten deutschen Unternehmen über ausreichend Personal, um eine Cybersecurity rund um die Uhr an 365 Tagen im Jahr zu gewährleisten. Im weltweiten Vergleich sind es 36 Prozent.

Als weitere Schwachstelle stuft der Sicherheitsanbieter ein, dass nur 36 Prozent der Unternehmen hierzulande ein Angriffsflächen-Management betreiben, um ihr Cyberrisiko zu erfassen. In diesem Bereich liegt Deutschland einen Prozentpunkt über dem weltweiten Durchschnitt.

Nachholbedarf gibt es indes offenbar bei der Nutzung von Regelungen oder Rahmenwerken wie dem NIST Cybersecurity Framework. Hierzulande stützen sich lediglich 28 Prozent der Unternehmen solche Vorgaben – weltweit sind es 34 Prozent.

„Warum schafft es die Mehrheit der Unternehmen nicht, solche grundlegenden Cybersicherheitsmaßnahmen zu implementieren?“, kommentiert Trend Micro die Ergebnisse. „Das fehlende Gefühl von Zuständigkeit an der Spitze der Unternehmen könnte einen Erklärungsansatz liefern: Die Hälfte (50 Prozent) der deutschen Befragten (48 Prozent weltweit) gab an, dass ihre Geschäftsführungen Cybersecurity nicht als ihre Verantwortung betrachten. Nur 11 Prozent widersprechen dieser Aussage ganz und gar (17 Prozent weltweit).“

Original Autor: Stefan Beiersmann

0
  647 Aufrufe
0 Kommentare

Neue Version des Necro-Trojaners im Google Play Store entdeckt

Forscher des Sicherheitsanbieters Kaspersky haben eine neue Variante des Android-Trojaners Necro im Google Play Store aufgespürt. Die neue Version schaffte es der Analyse zufolge über den offiziellen Google-Marktplatz auf mehr als 11 Millionen Android-Geräte. Unter anderem ist der Trojaner in der Lage, beliebige Apps im Hintergrund zu installieren und sogar kostenpflichtige Abonnements im Namen eines Nutzers abzuschließen.

Für die Forscher ist Necro ein alter Bekannter: Bereits 2019 versteckte sich eine Version des Trojaners in einer App namens CamScanner und erreichte so mehr als 100 Millionen Downloads weltweit. Derzeit wird der Trojaner über infizierte Apps im Play Store sowie modifizierte Versionen von Spotify und Minecraft aus inoffiziellen Quellen verbreitet.

Im Play Store sind derzeit unter anderem Game Mods mit dem Necro-Trojaner infiziert. Die neue Version verfügt laut Kaspersky über neue Techniken, um einer Erkennung zu entgehen. Unter anderem sollen die Entwickler von Necro auf Steganografie setzen, um ihren Schadcode zu verbergen.

Zum Funktionsumfang von Necro gehört das Laden von sowie interagieren mit Werbeanzeigen in nicht sichtbaren Fenstern. Der Schädling öffnet aber auch Links in nicht sichtbaren WebView-Fenstern und führt darin JavaScript-Code aus. Außerdem kann er beliebige Dateien im DEX-Format herunterladen und ausführen.

Die Zahl von mehr als 11 Millionen infizierten Geräten bezieht sich Kaspersky zufolge ausschließlich auf über den Play Store getätigte Downloads. Die Opferzahl soll, da Necro auch über inoffizielle Quellen verteilt wird, deutlich höher sein. Angriffe mit Necro registrierte Kaspersky unter anderem in Russland, Brasilien, Spanien, Italien, der Türkei und Deutschland.

Weiterlesen
0
  817 Aufrufe
0 Kommentare

Botnetz von Flax Typhoon-Gruppe aufgedeckt

In einem Bericht zeigen sie unter anderem auf, dass nach den USA und Vietnam die meisten Geräte aus Deutschland (18.900) stammen. Es wird der chinesischen Gruppe Flax Typhoon, auch bekannt als RedJuliett und Ethereal Panda, zugeschrieben, die es zu Spionagezwecken eingesetzt haben sollen. Das Botnetz nutzt die Mirai Malware-Familie, deren Quellcode 2016 veröffentlicht wurde und seitdem verwendet wird, um IoT-Geräte wie Webcams, DVRs, IP-Kameras und Router mit Linux-basierten Betriebssystemen zu übernehmen. Seit 2016 wurden verschiedene Mirai-Botnetze immer wieder zur Durchführung von DDoS-Angriffen und anderen kriminellen Aktivitäten verwendet.

Mirai weiterhin aktiv

Antoinette Hodes, Global Solutions Architect & Security Evangelist bei Check Point Software: „Wir treten in eine Ära ein, in der IoT-Geräte wie Router und Webcams tagtäglich in internationalen Cyberkonflikten als Waffen eingesetzt werden. Es gilt nach wie vor, die Lehren aus dem 2020 aufgedeckten Mirai-Botnetz umzusetzen. Leider ist Mirai noch immer aktiv und richtet weiter Schaden an. Weitere Beispiele wie die Aufdeckung des Proxy-Botnetzes RSOCK oder die jüngst bei den Ubiquity G4 Instant Sicherheitskameras veröffentlichten Sicherheitslücken verdeutlichen die Gefährdungslage. Die Warnung der Behörden vor der von China ausgehenden Kampagne zeigt, dass staatlich unterstützte Akteure diese Schwachstellen aktiv ausnutzen, um globale und kritische Netzwerke zu infiltrieren.“

Präventive Sicherheitskontrollen für IoT-Geräte

„Von China gesteuerte Kampagnen schreiben die Spielregeln neu. Niemand spricht über das Ausmaß und die größeren Risiken. Die bösartigen Akteure hinter dem Botnetz gaben sich als Experten einer Informationssicherheitsgruppe namens Integrity Technology Group aus, so dass sie über einen längeren Zeitraum unter dem Radar fliegen konnten. Es gelang ihnen, wertvolle Informationen zu erlangen und sich möglicherweise Zugang zu kritischen Infrastrukturen, Regierungsbehörden, Unternehmen und Universitäten zu verschaffen. Der Vorfall zeigt die Notwendigkeit präventiver Sicherheitskontrollen für IoT-Geräte auf. Diese sollten nach dem Zero-Tolerance-Ansatz erfolgen, um die gesamte Lieferkette abzusichern“, rät Antoine Hodes weiter.

MFA aktivieren und Software aktualisieren

Die folgenden Maßnahmen helfen, um zu verhindern, dass die eigenen Geräte Teil eines Botnetzes werden:

Einkauf von IoT-Geräten von seriösen Marken, die Security by Design ernstnehmen und der IT-Sicherheit Priorität einräumen sowie Sicherheitsmaßnahmen in die Geräte vor der Markteinführung implementieren.Anwendung von Richtlinien für die Komplexität von Passwörtern und die Aktivierung einer Multi-Faktor-Authentifizierung (MFA).Sicherstellen, dass die angeschlossenen Geräte mit der neuesten Software stetig aktualisiert werden und ein solider Gerätezustand aufrechterhalten wird.Durchsetzung von Zero-Trust-Netzwerkzugangsprofilen für angeschlossene Geräte.Trennung und Segmentierung der Netzwerke für IT und IoT.

IoT-basierte Angriffe stark ansteigend

Bereits im letzten Jahr hatten die Sicherheitsforscher von Check Point Research eine Zunahme von IoT-basieren Angriffen festgestellt. In den ersten beiden Monaten des Jahres 2023 war die durchschnittliche Anzahl der wöchentlichen Angriffe auf IoT-Geräte pro Unternehmen im Vergleich zu 2022 um 41 Prozent gestiegen. Im Durchschnitt waren 54 Prozent der Unternehmen jede Woche von versuchten Cyberangriffen auf IoT-Geräte betroffen. Bereits damals waren europäische Unternehmen die am stärksten von Angriffen auf IoT-Geräten attackierten Firmen, gefolgt von jenen aus Asien und Lateinamerika.

Weiterlesen
0
  706 Aufrufe
0 Kommentare

Phishing-Kampagne nutzt Google Apps Script aus

Der Sicherheitsanbieter Check Point hat eine neue Phishing-Kampagne aufgedeckt. Sie nutzt das Tool Google Apps Script aus, das zur Automatisierung von Aufgaben in Google-Anwendungen verwendet wird. In Phishing-E-Mails sollen Google Apps Script-URLs indes Opfer dazu verleiten, vertrauliche Daten preiszugeben. Check Point zufolge sind die Phishing-E-Mails auch in Deutschland im Umlauf.

„Google Apps Script-Makros sind ein ideales Ziel für Cyberkriminelle, weil sie Arbeitsabläufe automatisieren und sich in verschiedene Google-Dienste integrieren können“, teilte Check Point mit. Entsprechend weit gestreut seien die Angriffe: Die Kampagne umfasse etwa 360 E-Mails in mehreren Sprachen, darunter Deutsch, Englisch, Russisch, Chinesisch, Arabisch, Italienisch und Französisch. Die E-Mails gäben fälschlicherweise vor, eine Benutzerregistrierung per Klick auf einen Link abzuschließen, die vom Empfänger jedoch nie initiiert wurde.

In der Betreffzeile enthalten die Phishing-E-Mails der Analyse zufolge einen Link, der zu einer Google Apps Script-Seite führt. Die URL wiederum führt zu einem angeblich „sicheren und vertrauenswürdigen“ Zahlungsdienst. „Da Google-Dienste und dementsprechend die zugehörigen URLs von Browsern und E-Mail-Diensten jedoch als legitim eingestuft werden, können Nutzer schnell geneigt sein, vertrauliche Informationen preiszugeben“, ergänzte Check Point.

Check Point rät Nutzern, auf E-Mails mit Betreffzeilen zu achten, die „Kontodaten“ für Registrierungen liefern, die man nie initiiert hat. Auch URLs, die „script.google.com“ enthalten und Benutzer auf Seiten leiten, die zur Eingabe persönlicher Daten auffordern, seien ein Warnsignal.

Original Autor: Stefan Beiersmann

0
  794 Aufrufe
0 Kommentare

Welche Folgen CrowdStrike für Deutschland hatte

Gestrichene Flüge, ausgefallene Server und PCs, Unternehmen, die ihre Beschäftigten nach Hause schicken mussten – vor zwei Monaten, genauer gesagt am 19. Juli, ging vielerorts nichts mehr. Ein fehlerhaftes Update einer Cybersicherheitslösung des Unternehmens CrowdStrike hatte weltweit zu zahlreichen IT-Ausfällen geführt.

Welche Folgen die Panne für Unternehmen in Deutschland hatte, haben jetzt das Bundesamt für Sicherheit in der Informationstechnik, BSI, und der Digitalverband Bitkom in einer gemeinsamen Befragung von 331 von den Ausfällen betroffenen Unternehmen ermittelt. Die Untersuchung ist nicht repräsentativ, gibt aber ein aussagekräftiges Stimmungsbild.

62 Prozent der vom CrowdStrike-Desaster betroffenen Unternehmen litten unter direkten Folgen, wie dem Ausfall der eigenen PCs oder Server. 48 Prozent spürten indirekte Auswirkungen, weil zum Beispiel Zulieferer, Kunden oder Geschäftspartner betroffen waren. Knapp die Hälfte der direkt oder indirekt betroffenen Unternehmen (48 Prozent) musste daraufhin vorübergehend den Betrieb einstellen – im Schnitt für 10 Stunden.

Rund drei Viertel (73 Prozent) bezeichnen rückblickend die entstandenen Probleme und Störungen als gravierend für die deutsche Wirtschaft. Zugleich sind zwei Drittel (64 Prozent) mit Blick auf das eigene Unternehmen aber auch sicher: Ein solcher Vorfall lässt sich nicht vollständig verhindern.

Eingeschränkte Betriebsleistung

Bei den direkt betroffenen Unternehmen wurden im Schnitt 32 Prozent der PCs und Notebooks sowie 51 Prozent der Server in Mitleidenschaft gezogen. Dadurch kam es vor allem zu Systemabstürzen (83 Prozent), Anwendungen konnten nicht genutzt werden (64 Prozent) und Daten waren nicht verfügbar (58 Prozent).

Weiterlesen
0
  706 Aufrufe
0 Kommentare

Google Chrome vereinfacht Nutzung von Passkeys

Google hat die Sicherheitsfunktion Passkeys, die eine passwortlose Anmeldung bei Websites und Apps ermöglicht, überarbeitet. Passkeys lassen sich künftig auch auf Windows, macOS und Linux im Google Passwortmanager speichern, was eine unkomplizierte geräteübergreifende Nutzung im Browser Chrome ermöglicht.

Bisher erfolgte eine Speicherung im Google Passwortmanager ausschließlich auf Android-Geräten. Zur Verwendung eines gespeicherten Passkeys zur Anmeldung auf einem anderen Gerät, musste ein dort erzeugter QR-Code mit dem Android-Smartphone- oder Tablet gescannt werden. Dieser Schritt fällt künftig weg beziehungsweise wird durch die Synchronisierung gespeicherter Passkeys über den Google Passwortmanager ersetzt.

Darüber hinaus führt Google eine neue PIN für seinen Passwortmanager ein. „Diese PIN bietet eine zusätzliche Sicherheitsebene, um sicherzustellen, dass eure Passkeys durchgehend verschlüsselt sind und niemand darauf zugreifen kann“, teilte das Unternehmen mit. Zur Verwendung eines synchronisierten Passkeys auf einem neuen Gerät muss dann entweder die neue Pin oder die Displaysperre des Android-Geräts eingegeben werden.

Passkeys sind Passwörtern überlegen, da jeder Passkey aus zwei kryptografischen Schlüsseln besteht: einem öffentlichen Schlüssel, der bei dem Online-Dienst oder der App registriert ist, und einem privaten Schlüssel, der auf einem Gerät wie einem Smartphone oder Computer gespeichert ist. Statt eine Passwort bei der Anmeldung einzugeben, erfolgt die Authentifizierung per Passkey mit einer PIN oder einem biometrischen Merkmal wie Gesicht oder Fingerabdruck. Ein Konto bleibt auch dann sicher, wenn ein Hacker den öffentlichen Schlüssel einer Website erlangt, da er keinen Zugriff auf den privaten Schlüssel auf dem Gerät eines Nutzers hat.

Original Autor: Stefan Beiersmann

0
  606 Aufrufe
0 Kommentare

Kritische RCE-Schwachstelle in Google Cloud Platform

Die kritische Remote-Code-Execution-Schwachstelle (RCE) namens CloudImposer hätte es böswilligen Akteuren ermöglichen können, Code auf potenziell Millionen von Google Cloud Platform Servern (GCP) und Kundensystemen auszuführen. Nach der Veröffentlichung durch Tenable hat Google die Schwachstelle bestätigt und behoben.

Angriffstechnik seit Jahren bekannt

Die Entdeckung geht auf eine Analyse der Dokumentation von GCP und der Python Software Foundation zurück, die zeigte, dass diese Dienste anfällig für einen als „Dependency Confusion“ bekannten Supply-Chain-Angriff waren. Obwohl diese Angriffstechnik seit mehreren Jahren bekannt ist, offenbaren die Untersuchungen einen erschreckenden Mangel an Bewusstsein und Präventivmaßnahmen, selbst bei großen Tech-Anbietern wie Google.

Supply-Chain-Angriffe in der Cloud können exponentiell mehr Schaden anrichten als in On-Prem-Umgebungen. Ein einziges schädliches Paket in einem Cloud-Dienst kann sich über riesige Netzwerke verbreiten und Millionen von Nutzern erreichen. Die CloudImposer Schwachstelle veranschaulicht die weitreichenden Folgen solcher Angriffe und unterstreicht die dringende Notwendigkeit sowohl für Cloud-Anbieter als auch Kunden, robuste Sicherheitsmaßnahmen zu implementieren.

 

 

Original Autor: ZDNet-Redaktion

0
  779 Aufrufe
0 Kommentare

Cyberkriminelle nehmen Fertigungsbetriebe ins Visier

Im ersten Halbjahr 2024 ist der Anteil der Hackerangriffe auf Fertigungsbetriebe und Industrieunternehmen auf 41 Prozent des Gesamtangriffsvolumens gestiegen. Das geht aus der aktuellen Ausgabe des Threat Intelligence Report des Sicherheitsanbieters Ontinue hervor. Im Vorjahr lag der Anteil noch bei 20 Prozent. Das entspricht einem Anstieg um 105 Prozent in diesen Wirtschaftssektoren.

Demgegenüber steht Ontinue zufolge ein bemerkenswerter Rückgang der Cyberattacken auf den Tech- und IT-Services-Sektor. Die Experten Unternehmens schreiben dies einer verbesserten Reife der Cybersecurity-Maßnahmen der Tech- und IT-Unternehmen zu.

Der Bericht weist auch auf eine deutliche Zunahme der von China ausgehenden Cyber-Operationen hin. Grund dafür seien vermutlich die anhaltende Umstrukturierung des Militärs und der Cyberstreitkräfte des Landes. Diese staatlich gesponserten Kampagnen konzentrierten sich zunehmend auf die Informationskontrolle und nutzten Zero-Day-Exploits, was die Zuordnung weiter erschwere und die globale Bedrohungslage eskalieren lasse.

Ontinue kritisiert zudem ein schwerfälliges Patch-Management. „Allein im ersten Quartal 2024 wurden 8967 CVEs (Common Vulnerabilities and Exposures) veröffentlicht, weitere 13.400 stehen noch zur Publikation aus“, teilte das Unternehmen mit. „Dennoch hinken viele Unternehmen bei der Installation von Patches hinterher, was sie anfällig für Angriffe macht, die bekannte Schwachstellen ausnutzen. Alarmierend ist, dass fünf der zehn wichtigsten Sicherheitslücken in diesem Jahr aus dem Jahr 2023 stammen. Dies zeigt, dass es für Unternehmen immer schwieriger wird, mit neuen Bedrohungen Schritt zu halten.“

Das größte Schadenspotenzial für die meisten Unternehmen gehe nach wie vor von Ransomware aus, so Ontinue weiter. Daran werde sich in absehbarer Zeit wohl auch nichts ändern. „Besonders Hackerkollektive wie Lockbit, die sich auf diese Angriffsart spezialisiert haben, gehören zu den gefährlichsten und erfolgreichsten Cyberkriminellen. Sie rufen neue Akteure wie die Hunters International auf den Plan, die die Bedrohungslage verschärfen. Auch die Gruppe Clop wird aller Voraussicht nach im Laufe des Jahres wieder mit neuen Angriffswellen durchstarten.“

Original Autor: Stefan Beiersmann

0
  747 Aufrufe
0 Kommentare

Sicherheitslücken bei Verivox und Check24 geben Kundendaten preis

Bei den Vergleichsportalen Verivox und Check24 gab es gravierende Sicherheitslücken, über die Unbefugte Zugriff auf vertrauliche Kundendaten hatten. Wie Correctiv berichtet, wurden die Schwachstellen von einem nicht näher genannten Sicherheitsforscher entdeckt, der über den Chaos Computer Club die beiden Unternehmen informierte. Demnach wurden die Datenlecks inzwischen geschlossen.

Im Gespräch mit Correctiv erklärte der Forscher, er sei über die Sicherheitslücken „gestolpert“, zuerst bei Check24 und später bei Verivox. Der Fehler sei zudem „trivial“. „Was diese beiden Sicherheitslücken für mich besonders gravierend macht, ist der stümperhafte Umgang mit Daten von Kundinnen und Kunden“, wird der IT-Experte in dem Bericht zitiert.

Der Fehler trat beim Kreditvergleich der beiden Portale auf. Auch war eine Registrierung nicht notwendig – bereits ein als Gast angemeldeter Nutzer hatte Zugriff auf Daten anderer Kunden. Dem Bericht zufolge musste lediglich eine Nummer am Ende der URL des eigenen Kreditvergleichs hoch- oder runtergezählt werden, um den Kreditvergleich eines anderen Kunden abrufen zu können.

Ein solcher Kreditvergleich erhält unter anderem Daten wie Namen und Anschriften, Einkommen, Zahl der Kinder und Details zum Arbeitsverhältnis. Bei Check24 waren der Abruf der Daten durch ein Passwort geschützt – allerdings nutzte Check24 dasselbe Passwort für alle Kunden. Verivox verzichtete indes auf ein Kennwort.

Beide Unternehmen räumten die Sicherheitslücken gegenüber Correctiv ein. Ihren Stellungnahmen zufolge wurden die Fehler kurzfristig behoben. Zur Zahl der möglicherweise Betroffenen machten beide Portale keine Angaben.

Weiterlesen
0
  755 Aufrufe
0 Kommentare

Bundesrat schiebt Ausschussempfehlungen zu NIS2 wortlos durch​

Da es offenbar keine Wortmeldungen zu den insgesamt 20 Empfehlungen von dem federführenden Ausschuss für Innere Angelegenheiten, dem Gesundheitsausschuss, dem Ausschuss für Umwelt, Naturschutz und nukleare Sicherheit und dem Verkehrsausschuss zum NIS2 gab, wurden direkt die Abstimmungen zu den Ausschussempfehlungen vorgenommen. Alle wurden ausnahmslos mehrheitlich angenommen.

Anzeige

Manuel Atug is an IT security expert for critical infrastructures and active online as @HonkHase.

Der Bundesrechnungshof war kürzlich für deutlich mehr Kritik und Sinnhaftigkeit zu haben. Im Rahmen von NIS2 wäre die Unterstützungsleistung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei Polizeibehörden und Verfassungsschutz künftig auf Bundesbehörden beschränkt worden. Im Rahmen der Amtshilfe hätten diese dann im Einzelfall leichter abgelehnt werden können. Es wird jetzt aber die gesetzliche Durchführung einer Unterstützungsleistung durch das BSI umgesetzt.

Es soll ein medienbruchfreies digitalisiertes Meldeverfahren in der Online-Plattform für den freiwilligen Informationsaustausch relevanter Cybersicherheitsinformationen haben. Dazu wird der elektronische Identitätsnachweis der EU mit dem Sicherheitsniveau "hoch" gefordert. Es soll auch gleichzeitig Zugang zu Informationen zur physischen Sicherheit und Resilienz Kritischer Infrastrukturen vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe bereitgestellt werden. Das Ganze soll auch in einem Ende-zu-Ende digitalisierten Verfahren realisiert werden.

Weiterlesen
0
  723 Aufrufe
0 Kommentare

Cyberattacke trifft französische Nachrichtenagentur AFP

Die französische Nachrichtenagentur Agence France-Presse (AFP) ist von einer Cyberattacke getroffen worden. Der Angriff auf das Informationssystem der Agence France-Presse, der in Teilen auch die Übertragungstechnik zu den Kunden betraf, sei am Freitag entdeckt worden, teilte die Agentur in Paris mit. Die Urheber des Angriffs und mögliche Motive seien nicht bekannt.

Anzeige

Die technische Abteilung der AFP kümmere sich mit der Unterstützung und Expertise der nationalen Behörde für Informationssicherheit (ANSSI) um den Vorfall. Die zuständigen Behörden in Frankreich seien eingeschaltet worden. Obwohl die Übertragung zeitweise beeinträchtigt war, lief die aktuelle weltweite Berichterstattung der AFP wie gewohnt weiter.

Lesen Sie auch

Initiative für mehr IT-Sicherheit: Microsoft zieht erstes Resümee

heise Security

Jetzt patchen! Attacken auf Ivanti Cloud Service Appliance verschärfen sich

heise Security

Weiterlesen
0
  775 Aufrufe
0 Kommentare

Microsoft Recall kommt mit Opt-In, mehr Filtern und Verschlüsselung

Im Oktober 2024 will Microsoft die umstrittene KI-Suchfunktion Recall für Windows 11 nach einem Rückzug wieder für Copilot+-PCs anbieten – mit umfangreichen Änderungen. Dies hat das Unternehmen jetzt in einem umfangreichen Blogbeitrag bekannt gegeben. Dort heißt es gleich im ersten Satz, dass "KI immer mehr ein fester Bestandteil von Windows" werde – folglich gibt Microsoft Recall also nicht auf, sondern lässt den Nutzern mehr Möglichkeiten, die Funktion zu konfigurieren oder ganz abzuschalten.

Anzeige

Laut dem Beitrag soll es beim Installieren von Windows einen eigenen Bildschirm geben, bei dem man das regelmäßige Speichern von Screenshots, die Basis von Recall, ganz abschalten kann. Microsoft macht die Funktion dem Nutzer jedoch mit der Überschrift "Schalten sie ihr fotografisches Gedächtnis mit Recall frei" bei diesem Teil des Windows-Setup recht schmackhaft. Eher am Rande erwähnt das Unternehmen, dass sich Recall nach der Installation von Windows auch über die Systemsteuerung, so wörtlich, "vollständig entfernen" lassen soll.

Wenn man sich für Recall entscheidet, soll das System standardmäßig besonders sensible Daten nicht speichern. Dazu nennt Microsoft ausdrücklich nur Kreditkartendaten, Ausweisnummern und Passwörter. Um diese Informationen schon vor dem Screenshot zu filtern, verwendet Recall das System Purview, das schon von den Windows-Ausgaben für Behörden und Unternehmen bekannt ist. Die Inhalte von privaten Browserfenstern sollen nie gespeichert werden. In einem anderen Beitrag nennt Microsoft die dabei unterstützten Browser, dazu zählen Chrome, Edge, Firefox, Opera sowie einige auf Chromium basierende Programme. Zu Inhalten für Erwachsene macht der Blogbeitrag keine Angaben.

Aus dem Screenshot-Katalog von Recall kann man rückwirkend auch wieder Inhalte löschen. Das soll laut dem Blog für Programme, Webseiten oder einen bestimmten Zeitraum möglich sein. Auch alle Recall-Daten lassen sich entfernen. Microsoft betont in seinem Beitrag, und auch beim bereits erwähnten Teil des Windows-Setup wortgleich "Sie haben immer die Kontrolle" und will so offenbar um Vertrauen werben.

Weiterlesen
0
  900 Aufrufe
0 Kommentare

Mehr Privatsphäre im Internet: Tor-Projekt und Tails schließen sich zusammen

Um die Freiheit im Internet auszudehnen, haben sich die Verantwortlichen hinter dem anonymisierenden Tor-Netzwerk und die Macher des auf Wahrung der Privatsphäre getrimmten Linux-System Tails zusammengetan. Das geht aus einer aktuellen Mitteilung hervor. So wollen sie ihre Kräfte bündeln, um Nutzer weltweit vor Überwachung und Zensur zu schützen. Durch die Kooperation sollen unter anderem Prozesse effektiver aufgeteilt und somit optimiert werden.

Anzeige

Für das anonyme Surfen setzt Tails auf den Tor-Browser, der den Zugriff auf das Internet über das Tor-Netzwerk herstellt. Dieses Netzwerk anonymisiert Verbindungsdaten, sodass etwa Regierungen es schwerer haben, den Datenverkehr zu analysieren. Etwa in Ländern mit starker Zensur ist das oft der einzige Weg, über den Journalisten das Internet für ihre Arbeit nutzen können. Tails will wiederum garantieren, dass das Betriebssystem sicher ist und Anonymität garantiert ist. Dafür setze sich das System etwa nach jedem Neustart zurück, sodass keine Spuren in Tails zurückbleiben.

In der Mitteilung geben die Verantwortlichen an, dass die Tails-Macher Ende 2023 mit der Idee einer Kooperation auf die Tor-Netzwerk-Betreiber zugekommen sind. Durch den Zusammenschluss versprechen sich beide Parteien eine effizientere Aufteilung der Arbeitsbereiche: Die Tails-Entwickler können sich so effektiver auf ihr Tails OS konzentrieren und dabei von der größeren Organisationsstruktur des Tor-Netzwerkes profitieren.

Einem Teamleiter von Tails OS zufolge frisst gar nicht die Implementierung der Technik die meiste Zeit, sondern vielmehr Geschäftsprozesse wie Finanzen und Human Ressources. An diesen Stellen sollen die geschäftlichen Strukturen des Tor-Projektes helfen. Abschließend versprechen sich beide Parteien von der Kooperation, dass sie mehr Menschen erreichen.

Weiterlesen
0
  863 Aufrufe
0 Kommentare

heise-Angebot: iX-Workshop: IT-Sicherheit nach ISO 27001 – Herausforderungen und Chancen

Sie planen, ein Information Security Management System (ISMS) gemäß ISO 27001 einzuführen? In unserem interaktiven iX-Workshop IT-Sicherheit nach ISO 27001 umsetzen erhalten Sie eine fundierte Einführung in die Grundlagen der internationalen Norm für Informationssicherheit und profitieren von Best Practices und Lösungsansätzen für die erfolgreiche Umsetzung in Ihrem Unternehmen.

Anzeige

An zwei Vormittagen begleitet Sie unser Trainer Björn Lemberg durch den Workshop, macht Sie mit grundlegenden Tätigkeiten, aber auch typischen Fallstricken vertraut und stellt Ihnen wichtige Meilensteine der Projektplanung vor. Als leitender Berater der Secuvera GmbH unterstützt er Organisationen bei der Einführung, Aufrechterhaltung, Verbesserung und Prüfung von Informationssicherheitsmanagementsystemen. Die Inhalte des Workshops werden durch Gruppenarbeiten und Diskussionen veranschaulicht und vertieft, um einen praxisnahen Lernansatz zu gewährleisten.

Der nächste Workshop findet am 4. und 5. September 2024 statt und richtet sich an Informationssicherheitsbeauftragte, IT-Mitarbeitende und Führungskräfte, die einen fundierten Einblick in das Thema erhalten möchten.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Original Autor: Ilona Krause

0
  716 Aufrufe
0 Kommentare

Monitoring-Software Whatsup Gold: Hersteller rät zum schleunigen Update

In Whatsup Gold klaffen sechs Schwachstellen, von denen zwei als kritisches Risiko gelten. Die vier weiteren Sicherheitslücken verfehlen die kritische Einordnung nur knapp.

Anzeige

In einer Sicherheitsmitteilung warnt Hersteller Progress nun vor diesen Sicherheitslecks. Die Entwickler des Unternehmens empfehlen allen Whatsup-Gold-Kunden, ihre Umgebungen "so schnell wie möglich" auf die nun verfügbare Version 24.0.1 zu aktualisieren. Wer eine ältere Version einsetze und das Upgrade nicht vornehme, bleibe für die Schwachstellen verwundbar.

Temporäre Gegenmaßnahmen, die die Lücken anderweitig ausbessern könnten, gibt es demnach offenbar nicht. Admins sollen die aktualisierte Software von Progress herunterladen. Anschließend sollen sie den Installer starten und den Anweisungen folgen.

Informationen zu den Sicherheitslücken selbst sind jedoch äußerst dünn, freundlich formuliert: Die CVE-Nummern und CVSS-Einstufung sind vorhanden, mehr nicht. Es handelt sich bei den Lücken CVE-2024-46905, CVE-2024-46906, CVE-2024-46907 und CVE-2024-46908 um solche mit einem CVSS-Wert von 8.8, sind also als Risiko "hoch" eingestuft. Gemeldet hat sie Trend Micros Zero Day Initiative. Trend Micro hat zudem die Lücke CVE-2024-46909 gemeldet, mit einem CVSS-Wert von 9.8 als kritisch eingestuft. Von Tenable hat Progress Informationen zur Schwachstelle CVE-2024-8785 erhalten, ebenfalls mit Risikoeinstufung als "kritisch" und einem CVSS-Wert von 9.8.

Weiterlesen
0
  804 Aufrufe
0 Kommentare

Microsoft warnt: Ransomware von Storm-0501 bedroht Hybrid-Cloud-Umgebungen

Die Ransomware der heute als "Storm-0501" bekannten Gruppe ist erstmals im Jahr 2021 aufgefallen. Die Angreifertruppe, die damals zunächst unter dem Namen "Sabbath" auftrat, hatte es auf kritische IT-Infrastrukturen in Nordamerika abgesehen. Seinerzeit gelang es ihr, Server von öffentlichen Einrichtungen zu infizieren und dort Datenbereiche zu verschlüsseln. Über Social-Media-Kanäle traten die Angreifer dann an die Öffentlichkeit und boten gegen Lösegeld Schlüssel zur Dechiffrierung an.

Anzeige

Wie das Portal SecurityIntelligence berichtet, nahmen die Täter 2021 bei einer betroffenen Schule sogar Kontakt mit Lehrern, Schülern und mit Mitarbeitern der Behörden auf, um ein Lösegeld in Höhe von mehreren Millionen US-Dollar einzufordern. Microsoft sieht nach Analyse der aktuellen Attacken nun eine gezielte Verlagerung der Ransomware-Angriffe auf Hybrid-Cloud-Umgebungen.

Wie Microsoft in seinem Securityblog berichtet, wurde ein mehrstufiger Angriff von Storm-0501 in Hybrid-Cloud-Umgebungen beobachtet. Dabei handelt es sich um eine IT-Infrastruktur, die private Cloud-Dienste mit öffentlichen kombiniert und den Austausch von Daten und Anwendungen zwischen beiden Welten ermöglicht. Behörden und Unternehmen nutzen häufig Hybrid-Cloud-Umgebungen, um sensible oder geschäftskritische Daten in der privaten Cloud zu speichern und gleichzeitig weniger sensible Anwendungen und Daten in der kostengünstigeren öffentlichen Cloud zu betreiben.

Die jüngsten Angriffe zielten auf Daten der US-Regierung beziehungsweise Behördendaten sowie Daten von Unternehmen aus dem Fertigungs- und Transportbereich sowie von Strafverfolgungsbehörden in den USA ab. Die Angreifer verschafften sich Zugang zu den Cloud-Umgebungen, indem sie unsichere Anmeldeinformationen privilegierter Konten ausnutzten.

Weiterlesen
0
  854 Aufrufe
0 Kommentare

Wegen Fake-Shops: Bundesrat will Aus für anonyme Domain-Registrierungen

Ein erheblicher Teil der Fake-Shops in Deutschland verfügt laut dem Bundesrat über eine DE-Domain, die bei Verbrauchern als "besonders vertrauenswürdig" gelte. In einer Stellungnahme zum Gesetzentwurf der Bundesregierung zur Umsetzung der 2. EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) verlangt die Länderkammer daher eine "Verpflichtung zur Identitätsprüfung von Domain-Anmeldungen und Domain-Übertragungen über qualifizierte Identifizierungsverfahren". In Betracht kommen sollen dafür etwa VideoIdent-Mechanismen oder die Vorlage eines elektronischen Identitätsnachweises (eID), der unter anderem im Personalausweis enthalten ist. Auf jeden Fall müssten sich die Anbieter dadurch "Gewissheit über die Person des Beteiligten verschaffen können".

Anzeige

Die " genauen und vollständigen Domain-Namen-Registrierungsdaten" sollen laut der am Freitag beschlossenen Eingabe des Bundesrats "in der Datenbank für die Abfrage von Zugriffsberechtigten" (Whois) vorgehalten werden. Domain-Registrare und Registrierungsdienstleister wollen die Länder verpflichtet wissen, "möglichst in Echtzeit" berechtigten Nachfragern wie Sicherheitsbehörden, Verbraucherzentralen oder speziellen Dienstleistern zur Verfügung zu stellen. Die Bundesregierung soll sich ferner für klare Regeln einsetzen, unter welchen Voraussetzungen Domains "bei Missbrauch blockiert werden können". Dabei sei zu prüfen, "inwieweit automatisierte Verfahren" genutzt werden könnten.

"Zur Fake-Shop-Bekämpfung bei Missbrauch sind die zeitnahe und vollständige Verfügbarkeit der Registrierungsdaten für die Erkennung von Vorfällen und die Reaktion darauf von wesentlicher Bedeutung", begründen die Länder ihre Initiative und verweisen auf einen allgemeinen Beschluss der Verbraucherministerkonferenz. Da betrügerische Online-Stores "mit legitimer Adresse eines anderen Unternehmens besonders gefährlich sind", sei ein mit Blick auf die Datenschutz-Grundverordnung (DSGVO) unbedenklicher "Abgleich des Ortes im Impressum des Fake-Shops mit dem in den Denic-Registrierungsdaten hinterlegten" einschlägigen Angaben zwingend erforderlich.

Auch der Regierungsentwurf sieht zwar bereits im Sinne der NIS2-Richtlinie eine Pflicht zum Führen einer Datenbank mit "genauen und vollständigen Domain-Namen-Registrierungsdaten" sowie einer "unverzüglichen" Zugangsgewährung vor – spätestens innerhalb von 72 Stunden. Der Bundesrat drängt aber darauf, diese Passagen massiv zu verschärfen.

Weiterlesen
0
  876 Aufrufe
0 Kommentare

Kia: Lücken in Webportal erlaubten Forschern Fernzugriff auf Autos

Eine Gruppe von Sicherheitsforschern hat kritische Schwachstellen im Webportal von Kia entdeckt. Am Donnerstag hat die Gruppe die Entdeckung öffentlich gemacht. Die Schwachstellen hätten es Angreifern ermöglicht, Millionen von Kia-Autos nur anhand des Nummernschilds binnen Sekunden aus der Ferne zu orten, zu aktivieren, zu starten und die Hupe zu betätigen. Betroffen waren Fahrzeuge mit Remote-Hardware, also solche älter als Baujahr 2013, unabhängig davon, ob sie ein aktives Kia-Connect-Abonnement hatten oder nicht. Inzwischen bestünde jedoch keine Gefahr mehr.

Anzeige

Um aufzuzeigen, wie einfach sie die mit dem Internet verbundenen Funktionen der Fahrzeuge aufgrund der Schwachstellen kapern konnten, entwickelten die Forscher eine eigene App, mit der sie Befehle an Fahrzeuge der betroffenen Modelle schicken konnten, sofern sie das Nummernschild kannten.

Über die Lücken in der Webanwendung konnten die Sicherheitsforscher außerdem persönliche Daten von Autobesitzern einsehen, darunter Namen, Telefonnummern, Anschriften und E-Mail-Adressen und sich selbst als zweiter Benutzer dem Benutzerkonto hinzufügen, ohne dass die Fahrzeug-Eigentümer das mitbekommen hätten.

Die Schwachstellen in der Webanwendung erlaubten es den Forschern, einen Händler-Account im Kia-Händlerportal zu registrieren, über den sie auf die Kia-Händler-APIs im Backend zugreifen konnten. Von dort aus fanden sie einen Weg, Fahrzeuge betroffener Modelle zu übernehmen. Details zu ihrem Vorgehen haben sie in einem Blogpost veröffentlicht.

Weiterlesen
0
  775 Aufrufe
0 Kommentare

Kritische Sicherheitslücken: PHP 8.3.12, 8.2.24 und 8.1.30 dichten Lecks ab

Admins, die sich schon auf den Weg ins Wochenende machen wollten, sollten noch mal rasch an den Verwaltungs-PC: Die PHP-Entwickler haben die Versionen 8.3.12 und 8.2.24 veröffentlicht. Diese schließen teils als kritisches Risiko eingestufte Sicherheitslücken.

Anzeige

Die Versionsankündigungen für PHP 8.3.12, PHP 8.2.24 und PHP 8.1.30 sind äußerst knapp. "Dies ist ein Sicherheits-Release. Allen PHP 8.[1|2|3] Nutzern sei empfohlen, auf diese Version zu aktualisieren" lauten die Ankündigungen, deren einziger Unterschied die Versionsnummer ist.

Ähnlich sieht es bei den Changelogs zu Version 8.3.12 und 8.2.24 aus. Sie sind nahezu identisch. Ausnahme ist ein zusätzlich korrigierter Fehler in PHP 8.3.12, der in 8.2.24 offenbar nicht vorhanden ist. Dabei handelt es sich laut Kurzbeschreibung um einen Signed-Integer-Überlauf in ext/dom/nodelist.c. Wesentlich schlimmer ist jedoch ein Wiedergänger einer alten Lücke in PHP-Versionen vor den nun neu veröffentlichten. Es geht erneut um die bekannte Sicherheitslücke CVE-2024-4577 – der bisherige Patch reicht nicht aus, die damit getroffenen Gegenmaßnahmen lassen sich umgehen. Details fehlen noch, der CVE-Eintrag CVE-2024-8926 ist zum Meldungszeitpunkt noch auf Status "reserved". Tenable verrät jedoch, dass der CVSS-Wert 9.1 beträgt, die Lücke mithin "kritisch" ist und die Windows-Version von PHP. betrifft. Das Changelog für PHP 8.1.30 fällt hingegen deutlich kürzer aus.

IT-Verantwortliche sollten die aktualisierten PHP-Versionen zügig installieren. Die Vorgänger-Schwachstelle CVE-2024-4577 wurde bereits im Juni in freier Wildbahn angegriffen. Die CISA hat davor mit der Aufnahme des Sicherheitslecks in den Known-Exploited-Vulnerabitlites-Katalog gewarnt. Etwas Salz streut in die Wunde, dass auch CVE-2024-4577 lediglich eine Variante eines 12 Jahre älteren Fehlers (CVE-2012-1823) war, den die Programmierer auch da nicht vollständig korrigiert haben.

Weiterlesen
0
  733 Aufrufe
0 Kommentare

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Comretix GmbH Logo
ImpressumAGBDisclaimerDatenschutzerklärung