Comretix Blog

Wer einen Tesla fährt, kann umfangreich Daten des Fahrzeugs sammeln und auswerten. Das gelingt etwa mit dem Open-Source-Projekt TeslaMate. Ein IT-Forscher hat nun hunderte offenstehende Instanzen im Netz gefunden, die diese Daten aller Öffentlichkeit preisgeben.

Aufgefallen ist der fehlende Zugriffsschutz Seyfullah Kılıç, der in einem Blog-Beitrag darüber berichtet. Das quelloffene Tool TeslaMate steht auf Github zum Herunterladen bereit. Es erlaubt, die Daten des eigenen Fahrzeugs zu sammeln und speichert diese in einer Postgres-Datenbank. Die Daten können mit Grafana visualisiert und analysiert sowie an lokale MQTT-Broker verteilt werden. Das ermöglicht die Aufbereitung, etwa mit Home Assistant.

Zu den Daten, die TeslaMate verwaltet, gehören unter anderem Fahrtendaten mit automatischen Adressnachschlagen, Ladestand und Zustand des Akkus. Das Projekt listet auf Github noch diverse Standard-Dashboards zu weiteren Daten auf, die damit einsehbar sind.

Das Problem, auf das Kılıç gestoßen ist, liegt im Selbsthosting von TeslaMate. Die Software enthält standardmäßig keinen Zugriffsschutz und erlaubt allen Zugriff auf die Daten. Dadurch können Unbefugte etwa den Standort einsehen – daraus lässt sich gegebenenfalls ableiten, ob ein Tesla zuhause oder im Büro ist. Etwa für Angreifer wie Einbrecher jedoch sehr nützlich.

TeslaMate stellt standardmäßig auf Port 4000 ein Web-Interface bereit und auf Port 3000 ein Grafana-Dashboard. Das verlockt Nutzerinnen und Nutzer offenbar dazu, Instanzen auf Cloud-Servern zu hosten oder heimische Installationen ins Internet durchzureichen. Mit einer Suche nach offenen TCP-Ports 4000 und der Abfrage des Standard-HTTP-Titel von TeslaMate über das Internet stieß der IT-Sicherheitsforscher auf hunderte offene Instanzen, die diese eher persönlichen Informationen aller Welt preisgeben.

Bei Infoniqa, einem Software- und Dienstanbieter für den HR-Bereich, kam es Anfang des Monats zu einem IT-Vorfall. Jetzt meldet sich die Cybergang "Warlock" im Darknet und reklamiert den Einbruch für sich. Sie will große Mengen teils sensibler Daten entwendet haben.

Ein Countdown auf der Untergrund-Webseite der kriminellen Vereinigung zeigt eine Laufzeit von etwas mehr als zwei Tagen an. Eine Schaltfläche "View Data" ist derzeit (noch) funktionslos.

Die Cybergang "Warlock" will Daten bei Infoniqa erbeutet haben. Das behauptet sie im Darknet.

(Bild: heise medien)

Der Info-Kachel zufolge haben die Mitglieder der Bande bei Infoniqa 165 GByte an Daten kopiert. Darunter sollen sich interne Dokumente, Finanzdokumente, Mitarbeiter-Informationen, die CRM-Datenbank, die HR-Datenbank sowie eine SaaS-Datenbank befinden.

Die Betreiber des Python Package Index (PyPI) gehen gegen Domain-Hijacking vor, um Lieferkettenangriffe zu erschweren. Dabei prüft das beliebte Python-Paketverzeichnis die Domains von Mail-Adressen der User-Accounts regelmäßig darauf, ob die Domänen noch einen Besitzer haben. Wenn nicht, wird dem Account die Verifizierung entzogen, was bereits über 1800 Mal der Fall war.

Mit diesem Verfahren verhindert PyPI, dass Angreifer eine aufgegebene Domain übernehmen, die E-Mail-Adresse des vorherigen Nutzers einrichten, bei PyPI das Passwort des mit der Mail-Adresse verbundenen Accounts zurücksetzen und sich einloggen. Dann haben sie Zugriff auf die dort veröffentlichten Python-Pakete und können Schadcode in diese einbauen, den andere Nutzer unbedarft installieren. Als Beispiel für einen derartigen Lieferkettenangriff nennt der Python-Blog das Hijacking des ctx-Pakets 2022, das andere User 27.000 Mal heruntergeladen haben.

Für die Prüfung nutzt PyPI die Karenzzeit von dreißig Tagen, in die Domains nach der Löschung gehen: die Redemption Grace Period (RGP). Dieser Status ist öffentlich gekennzeichnet, was PyPI nun täglich checkt und den betroffenen Mail-Adressen die Verifikation entzieht. Das bedeutet, dass Nutzer nicht einfach ein Passwort zurücksetzen können, sondern zusätzliche Belege vorlegen müssen, beispielsweise einen zweiten Faktor – wenn eingerichtet – oder eine Mitgliedschaft in anderen, nicht näher spezifizierten Diensten ("via other services under the user's control").

In der Ankündigung schreibt PyPI, dass bei der initialen Prüfung im Juni 1500 Adressen die Verifikation verloren haben. Ausdrücklich nicht betroffen sind Domains, die regulär den Besitzer wechseln und nicht in eine Karenzzeit gehen.

PyPI entzieht täglich Mail-Adressen die Verifizierung (hier im Bild ohne die 1500 von der initialen Prüfung).

In der Backupsoftware Commvault klaffen Sicherheitslücken, die Angreifern unter anderem das Einschleusen von bösartigem Code ermöglichen. Der Hersteller stellt Aktualisierungen bereit, die die Schwachstellen ausbessern.

Die schwerwiegendste Schwachstelle ist vom Typ Path Traversal und erlaubt Angreifern unautorisierte Zugriffe aufs Dateisystem. Das könne zur Ausführung von Schadcode aus dem Netz führen (CVE-2025-57790 / EUVD-2025-25256, CVSS 8.7, Risiko "hoch"). Angreifer benötigen dazu aber zumindest minimale Rechte im System.

Aufgrund unzureichender Überprüfungen können Angreifer aus dem Netz zudem Kommandozeilen-Parameter einschleusen oder manipulieren, die an interne Komponenten durchgereicht werden (CVE-2025-57791 / EUVD-2025-25255, CVSS 6.9, Risiko "mittel"). Nicht authentifizierte bösartige Akteure aus dem Netz können außerdem API-Aufrufe ausführen, ohne Zugangsdaten anzugeben. Diese Schwachstelle betrifft einen "bekannten Log-in-Mechanismus". Rollenbasierte Zugriffskontrollen (RBAC) sollen die Angriffsfläche einschränken, jedoch das Risiko nicht eliminieren können (CVE-2025-57788 / EUVD-2025-25258, CVSS 6.9, Risiko "mittel").

Nach der Installation stellt Commvault einen Log-in mit Standard-Zugangsdaten bereit. Dies müssen Admins beim ersten Log-in ändern. In dem Zeitraum dazwischen können Angreifer diese Standard-Zugangsdaten jedoch missbrauchen – allerdings können zu diesem Zeitpunkt noch keine Backup-Jobs angelegt sein (CVE-2025-57789 / EUVD-2025-25257, CVSS 5.3, Risiko "mittel").

Die Sicherheitslücken stopfen die Versionen Commvault für Linux und Windows 11.32.102 sowie 11.36.60 und neuere. Die als "Software as a Service" (SaaS) bereitgestellten Fassungen hat der Hersteller bereits selbst gepatcht, hier müssen Admins nicht weiter aktiv werden.

Mozilla führt CRLite in Firefox ein: Das System dient zum Widerrufen von Zertifikaten und soll zu einer sichereren Internetkommunikation beitragen. Websites nutzen HTTPS-Zertifikate, um die Identität zu bestätigen und eine verschlüsselte Verbindung zu gewährleisten. Wird ein solches Zertifikat missbräuchlich ausgestellt oder kompromittiert, muss es umgehend widerrufen werden. Bisherige Verfahren, etwa die Online-Prüfung per OCSP oder CRL-Downloads, haben bekannte Schwächen: Sie bremsen Seitenladezeiten aus, können die Privatsphäre der Nutzer verletzen, indem sie Seitenaufrufe an Dritte preisgeben, und waren nie wirklich vollständig, da stets nur ein Teil der weltweit widerrufenen Zertifikate überprüft wurde.

Mit CRLite entfällt jetzt die Notwendigkeit, während des Surfens auf externe Dienste zuzugreifen. Stattdessen sammelt und speichert das System Informationen zu sämtlichen widerrufenen Zertifikaten lokal im Browser. Ein Komprimierungsverfahren sorgt dafür, dass täglich circa 300 KByte an Daten aktualisiert werden müssen, damit Firefox immer auf dem neuesten Stand bleibt. Ziel ist also, dass das System ressourcenschonend bleibt, bei gleichzeitig stets aktuellen Sicherheitsinformationen. Die besondere Stärke von CRLite liegt in seiner Vollständigkeit: Während andere Browser bisher nur eine Auswahl der wichtigsten oder bekanntesten Zertifikate lokal prüfen konnten, verwaltet Firefox mit CRLite alle weltweit widerrufenen Zertifikate und kann somit betrügerische oder kompromittierte Seiten zuverlässig erkennen und blockieren.

Mozilla betont, dass mit CRLite nicht nur die Sicherheit steigt, sondern auch die Privatsphäre geschützt bleibt, da keine Anfragen mehr an externe Dienste gestellt werden. Überdies profitieren Nutzer von schnelleren Ladezeiten, da die Gültigkeitsprüfung direkt auf dem Gerät erfolgt. Mozilla sieht CRLite als Zukunft für das gesamte Web und hofft, dass auch andere Browser das System übernehmen.

Mehr Details finden sich in der Ankündigung von Mozilla und auf der Hacks-Seite von Mozilla. CRLite ist Teil von Firefox 142 – das Update umfasst für Anwender die Link-Vorschau und ermöglicht erstmals LLM-Erweiterungen.

Ein 22-Jähriger aus dem US-Bundesstaat Oregon wird beschuldigt, eines der bislang stärksten Botnets entwickelt und betrieben zu haben. Das hat die Staatsanwaltschaft von Alkas jetzt mitgeteilt, wo der Fall gelandet ist. Die erklärt, dass der Beschuldigte die Dienste von "Rapper Bot" gegen Geld angeboten habe. Mithilfe von 65.000 bis 95.000 infizierten Geräten habe das Botnet seit 2021 regelmäßig DDoS-Attacken mit 2 bis 3 Terabit pro Sekunden (TBit/s) ausgeführt. Der stärkste Angriff des Botnets könnte demnach sogar 6 TBit/s übertroffen haben. So angegriffene Seiten gehen offline, der unerwünschte Traffic kann für die Betreiber teuer werden. Auch Schutzmaßnahmen gegen solche Angriffe kosten viel Geld. Die Wohnung des Beschuldigten wurde am 6. August durchsucht, das Botnet sei aus dem Verkehr gezogen worden.

Während die Staatsanwaltschaft lediglich auflistet, dass das Botnet gegen Ziele in mehr als 80 Staaten, ein Netz der US-Regierung, ein populäres soziales Netzwerk und viele Tech-Firmen gerichtet wurde, werden andere genauer. Der Sicherheitsforscher Brian Krebs schreibt, dass "Rapper Bot" für massive Ausfälle beim Kurznachrichtendienst X Anfang März verantwortlich gewesen sein soll. Hauptsächlich soll das Botnet aber gegen Internetportale gerichtet worden sein, die dafür bezahlen sollten, nicht mehr ins Visier zu gelangen. Unter anderem Wettportale aus China seien so angegriffen worden. Krebs selbst sei von "Rapper Bot" nicht attackiert worden, die Verantwortlichen hätten die Strafverfolgungsbehörden nicht auf den Plan rufen wollen.

Das Botnet des jetzt 22-Jährigen setze sich laut der Staatsanwaltschaft aus digitalen Videorekordern, WLAN-Routern und ähnlichen Geräten zusammen, die mit spezialisierter Malware übernommen wurden – also ein IoT-Botnet. Es habe sich um das leistungsfähigste und ausgeklügelteste Botnet gehandelt, dessen Dienste man habe kaufen können. Ein nur 30 Sekunden dauernder Angriff damit könnte die jeweiligen Opfer zwischen 500 und 10.000 US-Dollar kosten, heißt es noch. Laut Krebs hat der jetzt Beschuldigte mit einer weiteren Person zusammengearbeitet. Beide hätten die Einnahmen zu gleichen Teilen zwischen sich aufgeteilt. Sollte der Beschuldigte aus Oregon schuldig gesprochen werden, droht ihm eine Höchststrafe von 10 Jahren, schreibt die Staatsanwaltschaft weiter. Krebs hält so viel aber für unwahrscheinlich.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Microsoft hat einige Probleme mit den Windows-Updates zum August-Patchday eingeräumt. Nun stellt das Unternehmen ein Update außerhalb der regulären Termine bereit, das den noch vorhandenen Fehler korrigiert, das die Funktion zum Zurücksetzen oder Wiederherstellen betrifft.

Darauf weist Microsoft unter anderem im Message Center der Windows Release Health-Notizen hin. "Microsoft hat ein Problem entdeckt, durch das das Zurücksetzen oder Wiederherstellen von Windows-Geräten fehlschlagen kann. Das Problem lässt sich nach Installation der Windows-Sicherheitsupdates aus dem August 2025 bei einigen Client-Versionen von Windows beobachten", fassen die Entwickler aus Redmond das Problem zusammen.

"Ein nicht-sicherheitsrelevantes Update außer der Reihe (Out of Band, OOB) wurde heute, am 19. August 2025, veröffentlicht, um dieses Problem anzugehen", erklärt Microsoft weiter. Es handelt sich um ein kumulatives Update, sodass keine anderen Updates zuvor angewendet werden müssen. Es ersetzt die vorherigen Updates für die betroffenen Versionen. "Sofern Sie das Windows-Sicherheitsupdate aus dem August 2025 noch nicht installiert haben, empfehlen wir, dieses OOB-Update stattdessen zu installieren. Sofern Ihr Gerät von dem Problem nicht betroffen ist, müssen Sie das OOB-Update nicht installieren", erörtern die Entwickler. Über die Einordnung, dass die Wiederherstellung und Zurücksetzen von Windows nicht sicherheitsrelevant seien, lässt sich sicherlich streiten.

Für die einzelnen betroffenen Windows-Versionen stellt Microsoft jeweils eigene, aktualisierte Updates zur Verfügung. Den Erklärungen in den Support-Einträgen zufolge stehen die Updates etwa als optionale Updates in der integrierten Windows-Update-Suche zur Verfügung.

Außerdem gibt es die aktualisierten Update-Dateien in Windows Update für Business sowie im Windows-Update-Katalog. Für die WSUS-Dienste stehen sie hingegen offenbar nicht bereit. Die Ausnahme bilden die 2019er-Versionen von Windows 10, die Updates stellt Microsoft dafür ausschließlich im Windows-Update-Katalog bereit.

Nach der Cyber-Attacke auf Berlins Justizsenatorin Felor Badenberg (CDU) werden Forderungen nach mehr Schutz laut. Der Angriff habe der Berliner Landesregierung als Verfassungsorgan gegolten, sagte der innenpolitische Sprecher der SPD, Sebastian Fiedler, dem Tagesspiegel. "Wir befassen uns gerade damit, wie wir den Schutz weiter ausbauen können." Nötig seien auch zusätzliche Befugnisse und Fähigkeiten der Kriminalpolizei im Bund und der Länder sowie der Nachrichtendienste.

Nach derzeitigem Erkenntnisstand ist es laut Senatsverwaltung für Justiz zu einem gezielten Angriff auf einen Arbeitsplatzrechner im Leitungsbereich des Hauses gekommen. Dabei seien auch personenbezogene Daten entwendet worden. Dazu zählten E-Mails von und an Personen, die mit dem Leitungsstab der Senatsverwaltung seit dem 1. Februar 2023 in Kontakt standen. Auch der digitale Kalender von Badenberg, in dem ihre Termine und Gesprächspartner vermerkt sind, soll dazu gehören.

Nach Angaben der Senatsjustizverwaltung ist von dem Cyberangriff ein einzelner Rechner betroffen, von dem Daten abgeflossen seien. "Bisher wurden auch keine weiteren Fälle von schädlichem Datenverkehr festgestellt", sagte eine Sprecherin. "Auch externe IT-Systeme sind nach bisherigem Stand nicht betroffen." Die Senatsverwaltung sei weiter vollumfänglich arbeitsfähig. Vermutet wird, dass iranische Hacker hinter dem Angriff stecken könnten. Senatorin Badenberg hat iranische Wurzeln.

"Es gibt viele ausländische Akteure, vor denen wir uns schützen müssen", sagte SPD-Politiker Fiedler. "Neben Russland sind das selbstverständlich auch die Iranischen Revolutionsgarden, die bekannt für die Fähigkeiten sind, die sie im Bereich der Cyberangriffe aufgebaut haben. Insoweit überrascht es nicht, dass der Verdacht auf sie fällt."

Angesichts der iranischen Wurzeln von Badenberg und ihres politischen Werdegangs zeigte sich Peter Neumann, Professor für Sicherheitsstudien am King's College in London, wenig überrascht. Die iranische Diaspora sei immer schon im Visier des iranischen Geheimdienstes gewesen, sagte Neumann dem Tagesspiegel.

Berichte machen derzeit die Runde, dass es bei Paypal zu einem massiven Datenabfluss gekommen sei. In einem Untergrundforum verkauft ein Krimineller mit dem Handle "Chucky_BF" angeblich rund 15,8 Millionen Zugangsdaten zu Paypal – einschließlich Klartext-Passwörtern.

In einem Untergrundforum bietet der Hehler die Zugangsdaten zu Paypal an.

(Bild: heise medien)

Die Daten sollen einen Umfang von 1,1 GByte haben und die Log-in-E-Mail-Adressen, Klartextpasswörter sowie verknüpfte URLs enthalten. Dazu gehören API-Endpunkte und URLs wie /signin und /signup. Ordentlich sortiert scheinen die Daten nicht zu sein, denn "Chucky_BF" räumt ein, dass Varianten davon Paypal-Links mit eingebetteten Zugangsdaten umfassen sowie länderspezifische Domains oder Mobil-Formate. Sie seien jedoch "ein hohes Risiko für Credential Stuffing, Phishing oder Betrugskampagnen", bewirbt der Täter sein Angebot. Das behauptete Datum des Datenlecks war am 6. Mai dieses Jahres.

Auf X ordnet Troy Hunt, der das Have-I-Been-Pwned-Projekt betreibt, das Datenleck ein. An Paypal selbst als Ursprung glaubt er nicht.

In der Remote-Monitoring-und-Management-Software (RMM) N-central von N-able wurden zwei Sicherheitslücken entdeckt, die Angreifern das Einschleusen von Befehlen ins Betriebssystem respektive das Ausführen von eingeschmuggelten Schadcode erlauben. Diese werden bereits im Internet angegriffen. IT-Forscher sehen noch mehr als tausend ungepatchte N-central-Instanzen, darunter auch viele in Deutschland.

Tiefgehende Details nennt N-able in den Schwachstelleneinträgen nicht. Zum einen können Angreifer lokal beliebigen Code ausführen, da N-central nicht vertrauenswürdige Daten deserialisiert (CVE-2025-8875 / EUVD-2025-24823, CVSS 9.4, Risiko "kritisch"). Zum anderen filtert N-central Benutzereingaben nicht ausreichend, sodass bösartige Akteure Befehle ans Betriebssystem einschleusen können (CVE-2025-8876 / EUVD-2025-24822, CVSS 9.4, Risiko "kritisch").

Die US-amerikanische IT-Sicherheitsbehörde CISA hat in der vergangenen Woche die Sicherheitslücken in den "Known Exploited Vulnerabilities"-Katalog aufgenommen. Wie die Angriffe aussehen, ist derzeit unklar, auch der Umfang und das Ausmaß verrät die CISA nicht.

Die Sicherheitslecks stopft N-able mit dem Update auf N-central 2025.3.1. Der Hersteller schweigt sich in der Versionsankündigung – darin enthalten auch der Download-Link auf die Aktualisierung – zu den laufenden Attacken aus, ergänzt jedoch den Hinweis, dass eine Authentifizierung zum Missbrauch der Schwachstellen nötig sei. Aufgrund des hohen Schweregrads scheint das jedoch eine einfach zu erklimmende Hürde zu sein.

Die Shadowserver Foundation hat am Wochenende eine Auswertung der Internet-Scans auf X veröffentlicht. Demnach waren am vergangenen Freitag 1077 IP-Adressen für die Schwachstellen CVE-2025-8875 und CVE-2025-8876 anfällig.

Bei der US-Tochter Allianz Life der Allianz-Versicherung gab es im Juli einen großen Datendiebstahl. Cyberkriminelle erbeuteten eine Datenbank mit persönlichen Daten der Kunden. Nun sind die Daten auch beim Have-I-Been-Pwned-Projekt (HIBP) gelandet. Hier können Interessierte prüfen, ob ihre Daten etwa in diesem Datenleck enthalten waren.

Der Einbruch fand bereits im vergangenen Monat statt, die Allianz taxiert ihn auf den 16. Juli dieses Jahres. Ein Unternehmenssprecher sagte dazu, dass es sich um eine Datenbank mit Informationen über Kunden handele. Die Angreifer hätten ihm zufolge mithilfe von Social-Engineering-Technik personenbezogene Daten "der meisten Kunden von Allianz Life, Finanzfachleute und ausgewählte Mitarbeiter von Allianz Life abrufen" können.

Troy Hunt, der HIBP betreibt, führt das Datenleck auf derzeitige Angriffe auf Salesforce zurück. Er schreibt zu den nun hinzugefügten Daten von Allianz Life, dass die Angreifer an 1,1 Millionen einzelne E-Mail-Adressen, Namen, Geschlecht, Geburtsdaten, Telefonnummern und Anschriften gelangen konnten. Auf der Hauptseite von HIBP können Interessierte prüfen, in welchen Datenlecks ihre E-Mail-Adresse aufgetaucht ist.

Ende Juli machte Allianz Life keine Angaben dazu, wie viele Kunden von dem Datenabfluss betroffen sind – hier schafft Hunts HIBP nun Klarheit. Da Allianz Life seine Produkte ausschließlich in den USA anbietet, dürften jedoch so gut wie keine deutschen Kunden betroffen sein. Das Unternehmen gibt jedoch an, 1,4 Millionen Kunden in den USA zu haben – unklar bleibt, woher die Differenz zu den 1,1 Millionen kopierten Datensätzen kommt.

Die Allianz Life hat in den USA die zuständigen Behörden eingeschaltet und arbeitet mit den Strafverfolgern vom FBI zusammen. Angaben dazu, ob die Angreifer eine Lösegeldforderung gestellt haben, machte das Unternehmen hingegen nicht.

Acht Sicherheitslücken bedrohen die cloudbasierte Patchmanagementplattform HCL BigFix SaaS Remediate. Angreifer können die Anwendung unter anderem abstürzen lassen.

Über die Patchmanagementplattform halten Admins unter anderem verwaltete Endpoints auf dem aktuellen Stand.

Aus einer Warnmeldung geht hervor, dass eine Lücke (CVE-2025-7783) als "kritisch" gilt. Unter bestimmten Bedingungen können Angreifer Anfragen an interne Systeme manipulieren. Was das für konkrete Auswirkungen haben kann, geht aus der Beschreibung der Schwachstelle nicht hervor.

Für eine weitere Lücke (CVE-2025-7338) gilt der Bedrohungsgrad "hoch"). An dieser Stelle können Angreifer über präparierte Upload-Anfragen DoS-Zustände herbeiführen. Das führt in der Regel zu Abstürzen von etwa Softwarediensten.

Für die verbleibenden Sicherheitslücken gilt der Bedrohungsgrad "mittel". An diesen Stellen können Angreifer nach erfolgreichen Attacken etwa auf eigentlich geschützte Systemdaten zugreifen.

Bereits vor zwei Wochen hat Trend Micro eine Warnung vor einer in freier Wildbahn attackierten Sicherheitslücke in der On-Premises-Version der Apex One Management Console veröffentlicht. Jetzt reagiert auch die US-amerikanische Cybersicherheitsbehörde CISA und nimmt die als "kritisches Risiko" eingestufte Schwachstelle in den "Known Exploited Vulnerabilitites"-Katalog (KEV) auf. Trend Micro hat zum Wochenende außerdem einen finalen Patch nachgelegt, der die zugrundeliegenden Fehler korrekt ausbessert und die "Remote-Install-Agent"-Funktion wiederherstellt.

In der Sicherheitsmitteilung von Trend Micro erörtern die Antivirenspezialisten, dass das vorläufige Fix-Tool bereits am 6. August eine erste Aktualisierung erhalten hatte, da die Installation der Ursprungsfassung in einigen Nicht-Standard-Konfigurationen fehlschlug. Seit dem Wochenende steht nun jedoch der finale Patch bereit, der bei Trend Micro auf der Apex-One-Downloadseite heruntergeladen werden kann.

Auf dem Reiter "Product Patch" steht nun die Datei apexone-sp1-win-en-criticalpatch-b14081.exe bereit, die auf Apex One Service Pack 1 angewendet werden sollte. Die Build-Version steigt damit auf 14801.

Die Sicherheitslücke ermöglicht "pre-authenticated" Angreifern aus dem Netz, bösartigen Code hochzuladen und Befehle auf verwundbaren Instanzen auszuführen; der Schwachstellentyp lautet "OS Command Injection", also Einschleusen von Befehlen ans Betriebssystem. Die Lücke hat zwei CVE-Einträge erhalten, die jeweils für unterschiedliche Prozessorarchitekturen gelten. Ins Detail geht Trend Micro jedoch nicht, wie sich die Lücke etwa missbrauchen oder woran sich Angriffsversuche erkennen lassen (CVE-2025-54987/EUVD-2025-23620, CVE-2025-54988/EUVD-2025-23621, CVSS 9.4, Risiko "kritisch").

Vor etwa zwei Wochen wurde die Sicherheitslücke in der Verwaltungsoberfläche bekannt. Den Entwicklern zufolge ist Trend Micro Apex One (On-Premise) 2019 bis einschließlich Management Server Version 14039 davon betroffen. Der zunächst veröffentlichte Patch "FixTool_Aug2025" wurde jedoch als vorläufig eingestuft, da die Remote-Install-Funktion davon abgewürgt wurde.

Im Streit um eine von der britischen Regierung gesetzlich geforderte Hintertür für iCloud gibt es zumindest mit Washington nun eine Einigung. Das teilte Tulsi Gabbard, die in der Trump-Administration als Director of National Intelligence, also Geheimdienstkoordinatorin, dient, auf X mit. Seit einigen Monaten habe man "eng mit unseren Partnern in Großbritannien" gearbeitet, "um sicherzustellen, dass die privaten Daten der Amerikaner privat bleiben und unsere verfassungsmäßigen Rechte und bürgerlichen Freiheiten geschützt bleiben". Präsident Trump und Vizepräsident J.D. Vance seien eingebunden gewesen.

Das Ergebnis sei, dass das Vereinigte Königreich seine Anordnung an Apple fallen gelassen habe, eine "Back Door" in seine Systeme (konkret: iCloud) zur Verfügung zu stellen. Laut Gabbard hätte diese dafür gesorgt, dass Großbritannien auf "geschützte verschlüsselte Daten amerikanischer Bürger" hätte zugreifen können, ein Eingriff in deren "Civil Liberties". Gabbard machte zunächst keine Angaben dazu, wie der Deal konkret aussieht und ob es eine Gegenleistung dafür gibt.

Zuvor hatte es massive diplomatische Verstimmung zwischen Washington und London um die mögliche iCloud-Hintertür gegeben. Sie sollte im Rahmen des britischen Schnüffelgesetzes UK Investigatory Powers Act umgesetzt werden, das auch die sozialdemokratische Regierung von Keir Starmer weiterverfolgt. Apple hatte zunächst nicht einmal öffentlich zugeben können, von dem Gesetz betroffen zu sein, da die Anordnung geheim ist, dann aber versucht, sich juristisch zu wehren. US-Präsident Trump hatte Großbritanniens Pläne mit denen von China verglichen. "Das geht nicht", sagte er.

Der britische Ministerpräsident Starmer war am Montag in Washington, um zusammen mit weiteren europäischen Staatsspitzen sowie dem ukrainischen Präsidenten Selensky über einen Frieden im Ukraine-Krieg zu verhandeln. Einen Kommentar der britischen Regierung zu Gabbards X-Statement gab es nicht. Eine Sprecherin teilte gegenüber der Nachrichtenagentur Reuters nur mit, die Regierung werde "stets alle notwendigen Maßnahmen im Inland" ergreifen, damit britische Bürger sicher blieben. Auch Apple reagierte auf Nachfrage zunächst nicht.

Der Konzern hatte zuletzt seine Verschlüsselungsfunktion Advanced Data Protection (ADP) für iCloud für britische Kunden abgeschaltet. Damit hat der Konzern selbst Zugriff auf die notwendigen Schlüssel und könnte Daten britischer Bürger an Behörden herausgeben, sofern entsprechende Anordnungen vorliegen. Apple hatte sich stets gewehrt und mitgeteilt, man werde keine Hintertür in Geräte und Verschlüsselungssysteme einbauen. Apple strengte auch juristische Maßnahmen beim zuständigen Spezialgericht, dem geheimen Investigatory Powers Tribunal (IPT), an. Ob diese weiterlaufen, ist unklar – ebenso wenig, ob Großbritannien eventuell versucht, Daten von Bürgern außerhalb Amerikas zu erlangen. Über einen Deal mit der EU zu dem Thema ist nichts bekannt.

Die Updates für Windows, die Microsoft zum Patchday im August in der vergangenen Woche verteilt hat, verursachen unter mehreren Windows-Versionen unerwartete Probleme. Microsoft arbeitetet an Lösungen und Updates-außer-der-Reihe. Mindestens ein Problem damit konnten die Redmonder bereits korrigieren.

Die gute Nachricht vorweg: Vergangene Woche wurde bekannt, dass das Windows-Update für Windows 11 24H2 fehlschlagen konnte, wenn es mittels Windows Server Update Services (WSUS) verteilt wurde. Laut Windows-Release-Health-Notiz haben die Entwickler das Problem gelöst – sofern es noch auftritt, sollen Admins mit dem WSUS einen Refresh und Re-Sync durchführen. Wer die Gruppenrichtlinie für das Known-Issue-Rollback (KIR) installiert hat, benötigt diese nicht länger.

Viel weniger erfreulich hingegen: Nach der Installation der August-Updates schlagen Versuche fehl, betroffene Geräte zurückzusetzen oder wiederherzustellen. Betroffen sind die Funktionen "System" – "Wiederherstellung" – "Diesen PC zurücksetzen" respektive "Probleme mittels Windows Update beheben", außerdem das mit den Business-Lizenzen erhältliche RemoteWipe CSP. Die Fehler treten unter Windows 11 23H2, 22H2, Windows 10 22H2, Enterprise LTSC 2021, IoT Enterprise LTSC 2021, Enterprise LTSC 2019 und IoT Enterprise LTSC 2019 auf. Die Programmierer wollen ein Out-of-Band-Update, also eines außerhalb des üblichen Veröffentlichungszyklus, zur Korrektur dieses Fehlers nachlegen – einen Zeitplan nennt Microsoft jedoch noch nicht.

Auch in der Nacht zum Dienstag dieser Woche hat Microsoft eingeräumt, dass Upgrades mit den August-Patches mit dem Fehler 0x8007007F fehlschlagen können. Sofern die Installation der Updates über "Windows Setup" – "Upgrade" angestoßen wird, können bestimmte Client- und Server-Upgradepfade mit dem Fehler abbrechen. Microsoft nennt Upgrades von Windows 10 1809, 21H2 und 22H2 auf Windows 11 23H2 und 22H2 sowie von Windows Server 2016 zu 2019 oder 2022 sowie von Server 2019 auf Server 2022. Die Upgrades auf die jüngeren Versionen Windows 11 24H2 und Windows Server 2025 seien hingegen nicht betroffen, ergänzt der Konzern. Am Freitag will Microsoft das korrigiert haben, Betroffene sollen es jetzt einfach erneut probieren.

Das Königreich Marokko zieht vor den deutschen Bundesgerichtshof (BGH). Praktisch zu Faschingsbeginn, am 11. November 2025 um 11:30 Uhr, wird in Karlsruhe darüber verhandelt, ob ausländische Staaten inländische Medien auf Unterlassung von Verdachtsäußerungen klagen können. Den Termin hat die BGH-Pressestelle am Montag verlautbart. Spaßig ist der Anlass nicht: Es geht um Medienberichte über die Spyware Pegasus, deren Kunden und deren Opfer.

Marokko hat im Jahr 2021 sowohl das Nachrichtenportal Zeit Online als auch die Süddeutsche Zeitung verklagt. Die Klagen sollen erreichen, dass deutsche Medien nicht mehr über den Verdacht berichten, eine Behörde des Königreichs Marokko habe die Spyware gegen Menschenrechtler, Journalisten und führende europäische Politiker eingesetzt, darunter Emmanuel Macron, Präsident Frankreichs und Co-Regent Andorras, sowie Charles Michel, damals Präsident des Europarates. Die Monarchie bestreitet, überhaupt eine Pegasus-Lizenz erworben zu haben.

Die Pegasus-Spyware nutzt geheim gehaltene Sicherheitslücken aus, um aus der Ferne in fremde Smartphones einzudringen, dann Daten auszuwerten und die Handybesitzer samt Aufenthaltsort und Kommunikation zu überwachen. Finanziert wird das aus Steuergeld jener Länder, deren Dienste Pegasus-Lizenzen kaufen, darunter auch deutsche Behörden. Hersteller Pegasus' ist die israelische Firma NSO Group. Sie hält Kundenlisten wie Opferlisten geheim, stellt aber in Abrede, Macron ausspioniert zu haben. Inzwischen soll Israel die Liste jener Länder, in welche die Spyware verkauft werden darf, deutlich zusammengestutzt haben.

Bei einem Datenleak ist vor einigen Jahren eine Liste mit mehr als 10.000 Telefonnummern durchgesickert, die von NSO-Kunden für potenzielle Überwachung mittels Pegasus eingegeben worden sein dürften. Ein Recherchekollektiv mit NDR, Süddeutscher, WDR, Zeit und Journalisten aus anderen Ländern, koordiniert vom Verein Forbidden Stories und technisch unterstützt vom Security Lab amnesty internationals (ai), machte sich an die Arbeit. Einige der Telefonnummern hat das Recherchekollektiv Anwälten, Journalisten, Menschenrechtlern und eben Politikern, darunter Macron und Michel, zugeordnet. Macrons Telefonnummer sei "mit hoher Wahrscheinlichkeit" von "jemandem im Sicherheitsapparat Marokkos" eingeben worden, berichtete Zeit Online im Juli 2021.

Auch Angriffe auf das Handy der damaligen Journalistin Dominique Simmonot und des Pariser Menschenrechtsanwalts Joseph Breham wurden dokumentiert. 37 betroffene Smartphones konnte das ai-Labor physisch untersuchen. 23 waren erfolgreich mit der Schadsoftware infiziert, die anderen 14 zeigten Spuren eines versuchten Angriffs. Die Ergebnisse wurden in einer unabhängigen Untersuchung durch das kanadische IT-Sicherheitslabor Citizen Lab der Universität Toronto bestätigt.

Der niederländische Onlineshop vidaXL ist unter anderem auf großen Verkaufsplattformen wie dem Amazon Marktplatz oder eBay aktiv, aber auch mit eigenem Auftritt vertreten. Am Sonntag hat das Unternehmen Kunden in E-Mails darüber informiert, dass bei einem IT-Vorfall möglicherweise Daten abgeflossen sind.

Das Unternehmen sei kürzlich darüber informiert worden, dass "eine unbefugte externe Partei Zugriff auf einen unserer Kundendatenserver erlangt" habe, heißt es in dem Schreiben. Dieser sei von einem Dienstleister gehostet worden. Es lägen keine "direkten Hinweise" vor, dass dabei die persönlichen Daten der Mail-Empfänger abgeflossen seien.

"Unmittelbar nach Bekanntwerden des Vorfalls haben wir Maßnahmen zur Eindämmung ergriffen und eine umfassende Untersuchung eingeleitet – in Zusammenarbeit mit führenden Experten für Informationssicherheit. Zudem haben wir die zuständigen Datenschutzbehörden informiert", erörtert der Online-Versender.

Dennoch wäre ein unbefugter Zugriff möglich gewesen, sodass "bestimmte Daten von Ihnen möglicherweise durch die externe Partei eingesehen wurden". Die potenziell abgeflossenen Daten umfassen die Namen, Kontaktdaten sowie Informationen zu bei vidaXL getätigten Einkäufen, erklärt das Unternehmen weiter. "Diese Informationen könnten für Phishing-Versuche missbraucht werden."

vidaXL führt weiter aus: "Wir möchten jedoch ausdrücklich betonen, dass die betroffenen Daten keine Passwörter, Kreditkarteninformationen oder sonstige zahlungsrelevante Daten enthalten."

Das Cloud-Unternehmen Workday, das auf Dienste rund um Human Ressources (HR) oder Finanzplanung spezialisiert ist, wurde Opfer eines IT-Vorfalls. Cyberkriminelle konnten nach Angaben des Unternehmens Zugriff auf das CRM-System von Workday erlangen. Dabei sind potenziell Daten von den nach Unternehmensangaben rund 11.000 Kunden aus mehr als 175 Ländern weltweit abgeflossen.

Das teilt Workday jetzt auf seiner Webseite mit. Eine Social-Engineering-Kampagne habe viele größere Organisationen getroffen, so auch Workday, erklärt das Unternehmen. Bösartige Akteure haben Angestellte mittels Textnachrichten oder Telefon kontaktiert und vorgegeben, aus der Personalabteilung oder IT zu stammen. Deren Ziel sei es, die Angestellten dazu zu bringen, ihre Zugangsdaten preiszugeben oder ihre persönlichen Informationen.

Workday habe festgestellt, dass Unbekannte Zugriff auf die eingesetzte Drittanbieter-CRM-Plattform erlangt hatten. Das Unternehmen betont, dass es keine Hinweise gebe, dass es zu Zugriffen auf Kunden-Tenants oder Daten darin gekommen ist. Workday habe schnell reagiert, den Zugang zu schließen und weitere Schutzmaßnahmen ergriffen, um vor ähnlichen Vorfällen in Zukunft gefeit zu sein.

Die Daten, an die die Angreifer gelangen konnten, waren primär allgemein verfügbare Geschäftskontakt-Informationen wie Namen, E-Mail-Adressen und Telefonnummern. Damit können sie ihre Betrugsversuche ausweiten.

Daher sei es wichtig zu wissen, dass Workday niemals jemanden über das Telefon kontaktiert, um ein Passwort abzufragen oder andere Sicherheitsdetails. Alle Kommunikation komme durch die vertrauenswürdigen Kommunikationskanäle, ergänzt Workday.

Eine Sicherheitslücke klafft in den Aptios- und AptiosV-BIOS-Versionen von AMI. Im SMM-Modul können Angreifer eine Schwachstelle missbrauchen, um Daten an von ihnen kontrollierte Adressen zu schreiben. Das ermöglicht offenbar auch, Inhalte des Flash-Speichers zu verändern. Die Lücke ist eigentlich recht alt, wurde jedoch jüngst "wiederentdeckt", da Systeme in freier Wildbahn dafür noch anfällig sind.

Davor warnt aktuell das renommierte CERT der Carnegie Mellon University. Das bezieht sich auf eine Veröffentlichung der IT-Forscher von Binarly von Anfang Juli dieses Jahres. Konkret können Angreifer die Sicherheitslücke missbrauchen, um ihre Rechte von Ring 0 auf Ring -2 zu erhöhen, in den System-Management-Modus (SMM), vollständig vom Betriebssystem isoliert. Damit können sie auch SMM-basierte Schutzmechanismen wie SPI-Flash-Schreibschutz umgehen und so beispielsweise eine Backdoor in der Firmware implantieren.

Derart manipulierte Firmware übersteht auch Betriebssystem-Neuinstallationen. Das Sicherheitsleck ermöglicht bösartigen Akteuren zudem, von UEFI-Firmware bereitgestellte Sicherheitsmechanismen zu unterlaufen, etwa Secure Boot und einige Varianten des Speicherschutzes für Hypervisors, schreibt Binarly.

AMI hat eine eigene Sicherheitsmitteilung Ende Mai dazu veröffentlicht. "Das Problem wurde identifiziert, gelöst und darauf unter Verschwiegenheitsklausel hingewiesen, im Jahr 2018", schreibt AMI dort, Binarly hat die Lücke wiederentdeckt, da das Problem in mehreren Geräten auf dem Markt nicht angegangen wurde. Über den Schweregrad herrscht jedoch Uneinigkeit. Während AMI der Lücke CVE-2025-33043 / EUVD-2025-16381 den CVSS-Score 5.8 und damit das Risiko "mittel" zuordnet, kommen die Binarly-Forscher auf einen CVSS-Wert von 8.2, was dem Risiko "hoch" entspricht.

Binarly hat die Sicherheitslücke in BIOS-Versionen etwa aus 2024 aufgespürt. Betroffen sind etwa Adlinktech cExpress-KL-LT2, Adlinktech LED-TKN, Dell Latitude 13 3380, HP Z VR Backpack G1, HP 200 G3, einige Lenovo ThinkCentre-Systeme, das TS150, sowie das Samsung Notebook Odyssey. Für diese Systeme stellen die Hersteller Binarly zufolge auch Microcode-Updates zur Verfügung.

Diese Entwicklung kam mit Ansage: Sicherheitsforscher sehen aktuell eine Zunahme KI-unterstützter Angriffe und damit einen Wendepunkt im Cyberwettrüsten. So sei jüngst eine russische Spionagesoftware entdeckt worden, die nachweislich mithilfe von Large Language Models (LLM) erstellt wurde und die Computer selbstständig nach sensiblen Daten durchsucht. Laut eines Berichts von NBC News nutzen russische Geheimdienste die Software, um an bestimmte Informationen zu gelangen, die von der Malware nach Moskau übertragen werden.

Ukrainische Behörden und mehrere Cybersicherheitsunternehmen konnten die Schadsoftware im Juli erstmals nachweisen. Der Angriff habe sich gezielt gegen ukrainische Nutzer gerichtet. Die Angreifer versendeten Phishing-E-Mails mit einem Anhang, der ein KI-Programm enthielt. Im Vergleich zu anderer Malware sei diese Schadsoftware viel zielgerichteter und komme ohne menschliche Interaktionen aus. Das mache sie deutlich effizienter.

Nach Angaben der Cybersicherheitsfirma CrowdStrike nehme der Einsatz von KI-Tools bei Angriffen zu. Besonders chinesische, russische und iranische Hacker sowie Cyberkriminelle würden verstärkt darauf setzen. Damit würde das Cyberwettrüsten ein neues Niveau erreichen.

Mit dem zunehmenden Einsatz von KI-Agenten sehen Experten ein neues Risiko für die Zukunft. Die Tools, die komplexe Aufgaben eigenständig ausführen können, brauchen für ihre Arbeit weitreichende Befugnisse in Unternehmen. Wenn diese von Angreifern zweckentfremdet werden, könnte von ihnen eine massive Gefahr aus dem Inneren hervorgehen.

Den Nachteilen gegenüber steht der Einsatz von KI zur Verbesserung der Sicherheit. Google etwa nutzt nach eigenen Angaben sein LLM Gemini, um die eigene Software nach Schwachstellen zu durchsuchen, bevor sie von Cyberkriminellen entdeckt werden. Mindestens 20 wichtige, bisher übersehene Schwachstellen seien auf diese Weise bereits entdeckt worden, wird Heather Adkins, Vice President of Security Engineering bei Google, zitiert.