Comretix Blog

Microsofts erste Secure-Boot-Zertifikate laufen ab Juni 2026 ab. Damit Systeme mit Secure Boot startbar bleiben, müssen sie bis dahin aktualisierte Zertifikate erhalten. "Bereite dich auf das erste globale, großflächige Secure-Boot-Zertifikat-Update vor", warnt Microsoft daher nun. Das betrifft nicht nur Windows-Systeme, sondern auch solche mit anderen Betriebssystemen wie Linux oder macOS.

In einem Blog-Beitrag erörtert Microsoft die Folgen des Zertifikatsablaufs und gibt Hinweise, wie Admins sich unter Windows behelfen können. Zusammenfassend eröffnet Microsoft: "Die Microsoft-Zertifikate, die in Secure Boot verwendet werden, sind die Vertrauensbasis für die Sicherheit des Betriebssystems, und alle laufen ab Juni 2026 aus. Um automatisch und rechtzeitig Updates für neue Zertifikate für unterstützte Windows-Systeme zu erhalten, müssen Sie Microsoft die Verwaltung Ihrer Windows-Updates überlassen, zu denen auch Secure Boot gehört." Für Microsoft ist daher auch eine enge Zusammenarbeit mit Original Equipment Manufacturers (OEMs) wichtig, die Secure-Boot-Firmware-Updates verteilen sollen.

Wer noch keine Option zur Verteilung der aktualisierten Zertifikate gewählt hat, sollte damit nun damit anfangen, rät Microsoft. Secure Boot soll verhindern, dass Schadsoftware bereits früh im Bootvorgang von Rechnern startet. Es ist mit dem UEFI-Firmware-Signierprozess verknüpft. Secure Boot setzt dabei auf kryptografische Schlüssel, die als Certificate Authorities (CA) bekannt sind, um zu verifizieren, dass Firmware-Module aus vertrauenswürdigen Quellen stammen. Im Juni 2026 fangen die Secure-Boot-Zertifikate – die Bestandteil des Windows-Systems sind – nach 15 Jahren an, auszulaufen. Windows-Geräte benötigen daher neue Zertifikate, um weiter zu funktionieren und geschützt zu sein, erklärt Microsoft.

Betroffen sind physische und virtuelle Maschinen mit unterstützten Versionen von Windows 10, Windows 11 und Windows Server 2025, 2022, 2019, 2016, 2012 sowie 2012 R2, mithin alle Systeme, die seit 2012 veröffentlicht wurden, einschließlich der Long-Term-Servicing-Channels (LTSC). Neuere Copilot+-PCs, die seit 2025 herausgekommen sind, haben bereits neuere Zertifikate.

Zu den betroffenen Systemen gehört auch macOS – das liege jedoch außerhalb des Microsoft-Support-Bereichs. Für Dual-Boot-Systeme mit Linux und Windows soll das Windows-Betriebssystem die Zertifikate aktualisieren, auf die Linux angewiesen ist.

Kriminelle geben sich derzeit wiederholt am Telefon als PayPal aus und behaupten, auf Ihrem Konto stehe eine hohe Überweisung bevor. Meist wird eine hohe Summe genannt. Am anderen Ende spricht eine Computerstimme. Oft wird von einer unterdrückten Nummer angerufen, in jüngsten Fällen waren aber auch Telefonnummern erkennbar.

Die Computerstimme fordert dazu auf, eine Taste zu drücken, um die angebliche Zahlung zu stoppen. Wer das tut, wird mit einer echten Person verbunden, die versucht, an persönliche Daten wie Bankinformationen oder E-Mail-Adressen zu gelangen – oder sogar Geldtransfers auszulösen. Die Methoden, die die Betrüger anwenden, variieren. Die Kriminellen versuchen es oft nicht nur auf einem Weg, daher sollten Nutzer bei ungewöhnlichen Anrufen oder Nachrichten aufmerksam sein.

Doch PayPal und andere Unternehmen kontaktieren Kunden auf diese Weise nicht. Solche Anrufe sind immer ein Betrugsversuch. Daher sollten Sie am besten auflegen und keine Daten preisgeben. Sie können Ihr Konto direkt in der offiziellen App oder auf der Webseite prüfen. Bei Unklarheiten können Sie den Kundenservice über den offiziellen Kanal kontaktieren. Erst Anfang des Jahres und im Mai traten derartige Fälle vermehrt auf.

Die Verbraucherzentrale warnte im Juni vor Phishing-Versuchen, die gezielt Kundinnen und Kunden von Banken, Online-Diensten und Versandunternehmen ansprechen. Die Betrüger versuchen, an persönliche Daten und Zugangsdaten zu gelangen. Bei DHL wird beispielsweise behauptet, eine Lieferung könne wegen einer fehlerhaften Adresse nicht zugestellt werden. Deutsche-Bahn-Kunden hingegen ködern Betrüger mit Rückerstattungen. Phisher versuchen außerdem, an die Daten von Netflix und ING zu gelangen. Auch Apo-Bank-Kunden müssen vorsichtig sein.

Ärzte und Apotheker sollten vorsichtig sein, wenn sie Briefe, E-Mails, SMS oder Anrufe im Namen der Apobank erhalten. Regelmäßig versuchen Betrüger, an Kundendaten zu gelangen, doch die Vorfälle häufen sich derzeit. In E-Mails werden die potenziellen Opfer dazu aufgefordert, persönliche Angaben zu bestätigen. Wie bei Phishing-Mails üblich, steht darin eine Frist, um Druck aufzubauen. Für den Fall, dass Empfänger diese nicht einhalten, drohen die Betrüger mit einer Bearbeitungsgebühr. In einer weiteren Phishing-Mail-Variante ist von "ungewöhnlichen Kontoaktivitäten" die Rede. Darüber berichtete Apotheke Adhoc.

Doch die Betrüger versuchen es auch über das Telefon, wo vermeintliche Apobank-Mitarbeiter von angeblich "auffälligen Buchungen" sprechen. Laut Apotheke Adhoc wurde unter anderem die 0211-5998-8000 angezeigt, also die korrekte Rufnummer der Apobank gespooft. Auf der Website der Apobank warnte das Geldinstitut Ende Mai auch vor Phishing-Mails mit einer "3-Fragen-Umfrage", für deren Teilnahme eine kurzzeitig kostenlose Kontoführung in Aussicht gestellt wurde. Die Betrüger erfragten darin unter anderem IBAN, Geburtsdatum und Telefonnummer. Ebenso warnt die Bank, keine gefälschten apoTAN-Apps herunterzuladen. Laut Apotheke Adhoc sind derzeit zudem auch betrügerische SMS im Umlauf.

Im März warnte die Bank außerdem vor Quishing, bei dem kriminelle Täter Briefe verschicken, auf denen ein QR-Code abgedruckt ist, der einen betrügerischen Link enthält. Die Kassenärztliche Bundesvereinigung (KBV) warnt, "auf keinen Fall" den Aufforderungen in den Briefen zu folgen.

Betrüger versuchen, ihre Opfer dazu zu verleiten, den QR-Code zu scannen und ihre Daten zu verifizieren.

(Bild: KBV)

Angreifer haben derzeit eine "kritische" Sicherheitslücke in Citrix NetScaler ADC und Gateway im Visier und attackieren Instanzen. Sicherheitsupdates sind verfügbar. Für einige Versionen ist aber der Support ausgelaufen.

In einer Warnmeldung erläutern die Entwickler, dass die folgenden Versionen über die Schwachstelle (CVE-2025-6543 / EUVD-2025-19085, CVSS 9.2, Risiko "kritisch") angreifbar sind:

Die Ausgaben 13.1-37.236-FIPS und NdcPP, 13.1-59.19 und 14.1-47.46 sind gegen die laufenden Attacken abgesichert. Für die Versionen 12.1 und 13.0 ist der Support ausgelaufen und es gibt keine Sicherheitsupdates mehr. Diese Ausgaben bleiben also verwundbar und Admins müssen ein Upgrade auf eine noch unterstützte Version durchführen.

Admins von On-premise-Instanzen sollten die Updates umgehend installieren. Die von Citrix gemanageten Cloudinstanzen sind eigenen Angaben zufolge bereits abgesichert. Die Entwickler weisen darauf hin, dass Secure Private Access On-Prem- oder Secure Private Access Hybrid-Implementierungen, die NetScaler-Instanzen verwenden, ebenfalls von der Sicherheitslücke betroffen sind.

Die Entwickler führen aus, dass Instanzen nur angreifbar sind, wenn NetScaler als Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) oder AAA-Virtual-Server konfiguriert ist. Ist das gegeben, können Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler auslösen, was zu DoS-Zuständen führt. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt.

Angreifer attackieren mehrere Sicherheitslücken in freier Wildbahn, warnt die US-amerikanische IT-Sicherheitsbehörde CISA. Am gefährlichsten sind laufende Angriffe auf die Fernwartungsfirmware in AMI MegaRAC, die etwa in Servern von Asus, Asrock Rack, HPE oder Lenovo steckt. Zudem laufen Angriffe auf Sicherheitslecks in D-Links DIR-859-Routern sowie auf eine uralte FortiOS-Firmware-Hintertür.

In einer Sicherheitsmeldung warnt die CISA vor den laufenden Attacken und erklärt, sie dem "Known Exploited Vulnerabilities"-Katalog, kurz KEV, hinzugefügt zu haben. Für US-Behörden ist das ein Handlungsbefehl, aber auch für IT-Verantwortliche in Deutschland, Österreich und der Schweiz sollte das ein Weckruf sein, Gegenmaßnahmen wie Firmware- und Software-Updates auszuführen.

Die bereits attackierte Sicherheitslücke in der Fernwartungsfirmware AMI MegaRAC wurde Mitte März bekannt. Diese Firmware läuft auf Baseboard Management Controllern (BMCs) von Servern unter anderem von Asus, Asrock Rack, HPE und Lenovo. Sie hat den maximalen CVSS-Wert 10.0 von 10 erreicht, gilt daher als höchst kritisches Risiko. Sie steckt dort in einem Modul für die Fernwartungs-API Redfish und wurde daher als "Redfish Authentication Bypass" bezeichnet: Es lässt sich die Anmeldung der Fernwartung umgehen (CVE-2024-54085 / EUVD-2024-54252, CVSS 10.0, Risiko "kritisch"). AMI hat den Serverherstellern Informationen und Patches bereitgestellt, diese mussten sie jedoch erst in ihre Firmwares einbauen und Admins die Aktualisierungen schließlich auch anwenden.

Das ist offenbar zumindest in Teilen nicht geschehen, sodass Server-Systeme mit AMI MegaRAC auch jetzt noch verwundbar sind. Möglicherweise haben Admins auch die "Best Practices" ignoriert oder übersehen, dass die BIOS-Einstellungen die Fernwartung standardmäßig aktivieren und zugleich Zugriff über die für Nutzdaten gedachten Netzwerkbuchsen aktivieren, anstatt sie lediglich für ein separates Wartungsnetzwerk einzuschränken. Diese sind zudem in vielen Fällen sogar im Internet exponiert.

Außerdem steht eine Schwachstelle in den D-Link-Routern DIR-859 unter Beschuss, die der Hersteller abweichend vom CVSS-Wert Anfang 2024 als kritisch eingestuft hat (CVE-2024-0769 / EUVD-2024-16557, CVSS 5.3, Risiko "mittel"). Sicherheitslücken in diesen Routern wurden jedoch bereits Mitte 2023 attackiert, vom Mirai-Botnet. Erschreckende Erkenntnis: Bereits damals waren die Geräte am End-of-Life angelangt und sollten durch noch vom jeweiligen Hersteller unterstützte Hardware ersetzt werden. Offenbar setzen einige Organisationen sie aber immer noch ein.

Sommer, Hitze, (etwas) kürzere Podcast-Episode – doch die Themen sind alles andere als heiter: In Folge 137 des c't-Datenschutz-Podcasts sprechen Redakteur Holger Bleich und Verlagsjustiziar Joerg über aktuelle Fälle und Urteile. Ein Fall aus Niedersachsen führt direkt zu akustischem Kopfschütteln: Eine öffentlich zugängliche, schwenkbare Webcam filmte einen FKK-Strand und übertrug die Bilder live ins Netz – ohne Hinweis für die Besucher. Die niedersächsische Datenschutzbehörde griff ein, ließ die Bilder verpixeln und prüft ein Bußgeld.

Ebenfalls aus Niedersachsen stammt das "Nicht-Bußgeld der Woche": Weil ein Staatsanwalt in Hannover vergaß, eine Beschwerde gegen ein Gerichtsurteil zu unterschreiben, verfällt ein gegen den Volkswagen-Konzern erhobenes DSGVO-Bußgeld von satten 4,3 Millionen Euro. Diese Summe entgeht nun der Landeskasse. Ein Sprecher der Staatsanwaltschaft Hannover spricht von einer "Verkettung unglücklicher Umstände".

Im Zentrum der Podcast-Folge steht ein jetzt schriftlich veröffentlichtes Urteil des Oberlandesgerichts (OLG) Köln: Meta darf öffentliche Facebook- und Instagram-Postings für das Training seiner Sprach-KI verwenden. Die Verbraucherzentrale NRW hatte versucht, das mit einer einstweiligen Verfügung zu verhindern, ist aber gescheitert. Das Gericht sieht ein berechtigtes Interesse von Meta am KI-Training und argumentiert, dass die Daten ohnehin öffentlich sind. Außerdem habe Meta Maßnahmen zum Schutz der Nutzer ergriffen und eine – wenn auch schwer auffindbare – Widerspruchsmöglichkeit angeboten.

Doch die Entscheidung bleibt umstritten. Eine Syndikusanwältin der Verbraucherzentrale kritisierte in einem Kommentar an die Auslegungssache, dass das Gericht den Digital Markets Act (DMA) der EU nicht ausreichend berücksichtigt habe. Nach Lesart der Verbraucherzentrale hätte Meta für die Zusammenführung von Daten aus verschiedenen Plattformen eine ausdrückliche Einwilligung der Nutzer gebraucht. Das OLG Köln sieht das anders und meint, beim KI-Training würden keine personenbezogenen Daten gezielt zusammengeführt, sondern Daten lediglich in einen großen Trainingspool geworfen.

Die Moderatoren sehen dies als Anzeichen dafür, dass die Rechtslage rund um KI und Datenschutz weiterhin völlig offen ist. Sie diskutieren, ob Nutzer wirklich ausreichend informiert wurden und ob frühere Facebook-Postings für neue Zwecke wie KI-Training genutzt werden dürfen. Einig sind sie sich: Diese Fragen werden Gerichte, Gesetzgeber und Datenschützer noch lange beschäftigen, weil KI-Training nicht recht in die bestehende EU-Gesetzgebung passt.

Das IT-Sicherheitsunternehmen Rapid7 hat acht Schwachstellen in insgesamt 748 Multifunktionsdruckern, Scannern und Etikettendruckern von fünf verschiedenen Herstellern aufgedeckt. Angreifer könnten sich dadurch die Zugangsdaten zum Gerät selbst und dem angeschlossenen Netzwerk verschaffen. Die betroffenen Unternehmen Brother, Fujifilm, Ricoh, Toshiba und Konica Minolta haben Firmware-Updates bereitgestellt, aber eine Sicherheitslücke kann lediglich manuell umgangen werden. Erst mit neuen Modellversionen wird diese geschlossen.

Die gefährlichste Schwachstelle ist die Umgehung der Authentifizierung (CVE-2024-51978, kritisch), wodurch Angreifer die Kontrolle über das Gerät erlangen können. Ähnlich wie bei den Multifunktionsdruckern Xerox Versalink, die ihre Zugangsdaten preisgegeben haben, basiert das Standard-Kennwort auch bei diesen 748 Geräten auf der Seriennummer. Diese Kennzeichnung kann wiederum durch eine andere Sicherheitslücke (CVE-2024-51977) in den HTTP-, HTTPS- und IPP-Diensten erlangt werden. Die Seriennummer ist aber auch durch PJL- und SNMP-Anfragen herauszufinden, schreibt Rapid7.

Anwender sollten deshalb dringend ein eigenes Passwort anlegen, denn diese Funktion des Standard-Kennworts ist laut Brother nicht per Firmware zu ändern. Das Standard-Kennwort wird während der Produktion automatisch gesetzt. Sollten sich die Angreifer die Zugangsdaten zum Gerät beschafft haben, können sie eigene Passwörter setzen, das Gerät umkonfigurieren oder Funktionen des Geräts nutzen, die autorisierten Nutzern vorbehalten sind.

Andere Schwachstellen (CVE-2024-51979, CVE-2024-51982 und CVE-2024-51983) könnten Angreifer nutzen, um Pufferüberläufe zu produzieren und das Gerät zum Absturz zu bringen. Weitere Sicherheitslücken (CVE-2024-51980 und CVE-2024-51981) erlauben Angreifern Netzwerkfunktionen mit dem Gerät sowie den Zugriff auf Zugangsdaten externer Dienste wie LDAP oder FTP (CVE-2024-51984). Damit könnten Angreifer weiter in das Netzwerk vordringen und möglicherweise sensible Daten abgreifen.

Zu den betroffenen Geräten gehören 689 verschiedene Multifunktionsdrucker, Scanner und Etikettendrucker von Brother, 46 Druckermodelle von Fujifilm, fünf Drucker von Ricoh, zwei Druckermodelle von Toshiba und sechs Modelle von Konica Minolta. Allerdings verkaufen auch andere Hersteller wie Dell die Multifunktionsdrucker von Brother unter der eigenen Marke. So ist der Dell E514dw ein umbenannter Brother MFC-L2700dw mit leichten Modifizierungen. Ob auch die entsprechenden Dell-Modelle diese Schwachstellen besitzen, konnte Rapid7 auf Nachfrage von heise online nicht beantworten. "Uns liegen keine Informationen darüber vor, dass Dell-Modelle betroffen sind", erklärte Stacey Holleran von Rapid7. Entsprechende Anfragen an Brother und Dell sind bislang unbeantwortet.

IT-Sicherheitsforscher beobachten Preissteigerungen bei aktuellen Betrugsmaschen mit Sextortion-E-Mails. Offenbar sind auch die Betrüger inflationsgebeutelt und brauchen mehr Geld.

Davon berichtet Malwarebytes in einem aktuellen Blog-Beitrag. Solche Betrugsmails laufen häufig in Wellen in die Postfächer von Empfängern ein, die IT-Sicherheitsforscher nennen typische Anreden wie "Hello pervert". Die Absender behaupten üblicherweise, die Empfänger bei ihren Online-Bewegungen beobachtet und bei schlüpfrigen Aktivitäten erwischt zu haben, die lieber im Privaten blieben. Im Klartext lauten die Behauptungen meist, dass potenzielle Opfer angeblich beim Anschauen pornografischen Materials erwischt wurden und es Aufnahmen davon gebe, was sie geschaut und dabei gemacht hätten.

Damit die Erpresser diese Aufnahmen nicht an die Leute auf der E-Mail- und Social-Media-Kontaktliste weiterverbreiten, sollen Empfänger ihnen Geld zahlen. Der Tonfall sei allgemein bedrohlich, manipulativ und darauf ausgerichtet, Angst und Dringlichkeit zu provozieren, erklären Malwarebytes Mitarbeiter. Das Unternehmen beobachte, dass diese E-Mails ein großes Problem darstellen, da tausende Besucher wöchentlich auf deren Webseite kommen und Informationen zu Sextortion-Mails suchen. Eine jüngst empfangene Mail fiel den IT-Forschern jedoch besonders auf.

Dort behaupten die Absender, den Empfängern von ihrem eigenen Microsoft-Konto aus die Mail zu senden. Dahinter verbirgt sich die einfache Möglichkeit, Absenderadressen zu fälschen. Der Mailtext macht Verweise auf die Pegasus-Spyware, von der die Opfer sicherlich gehört hätten, die auf Computern und Smartphones installiert werden kann und Hackern ermögliche, die Aktivitäten der Geräteinhaber zu verfolgen. Dabei erlaube die Spyware Zugriff auf Webcam, Messenger, E-Mails und so weiter; das sei auf Android, iOS, macOS und Windows lauffähig. Der Mailtext baut damit bereits Druck auf, dass eine Spyware auf irgendeinem Gerät des Opfers offenbar lauffähig sei.

Weiter behaupten die Täter, bereits vor einigen Monaten diese Spyware auf allen Geräten des Empfängers installiert und danach Einblick in alle Aspekte des Privatlebens erhalten zu haben. Besonders wichtig sei dem Erpresser jedoch, dass er viele Videos "von dir beim Selbstbefriedigen zu kontroversen Pornovideos" gemacht habe. Nach einigen weiteren Volten im Text geht es um eine Ablasszahlung: Für 1650 US-Dollar in Litecoin (LTC), die Opfer auf die Kryptowallet des Betrügers transferieren sollen, lösche er alle Videos und deinstalliere die Pegasus-Spyware. Schließlich bauen die Betrüger zeitlichen Druck auf und geben den Opfern 48 Stunden Zeit.

Eine schwerwiegende Sicherheitslücke in vielen Bluetooth-Kopfhörern erlaubt Angreifern, Daten aus der Ferne von den Geräten auszulesen und Verbindungen zu übernehmen. Das haben Forscher des deutschen Sicherheitsunternehmens ERNW herausgefunden. Sie stellten ihren Fund auf der diesjährigen Ausgabe der Security-Konferenz TROOPERS vor. Betroffen sind mutmaßlich Millionen Geräte verschiedener Hersteller; Updates zur Problembehebung sind noch nicht verfügbar. Dennoch beruhigen die Forscher: Angriffe seien zwar möglich, die Zielgruppe für Attacken jedoch begrenzt.

Die Lücken befinden sich in Bluetooth-SoC (System-on-Chip) des taiwanischen Herstellers Airoha, der vor allem für "True Wireless Stereo"-Kopfhörer (TWS) beliebt ist. Mittels Airoha-Chips können kleine In-Ear-Kopfhörer Stereoton latenzfrei von Abspielgeräten wie Smartphones wiedergeben. Namhafte Hersteller wie Sony, JBL, Marshall oder Bose greifen teilweise darauf zurück, verbauen aber auch Bluetooth-Technik anderer Zulieferer.

Airoha verpasste seinen Bluetooth-Chips ein selbstgestricktes Protokoll, das Manipulationen am Arbeits- und Flashspeicher der Geräte per Funk ermöglicht. Das Protokoll, das sowohl via Bluetooth Low Energy (BLE) als auch über "klassisches" Bluetooth (BD/EDR) erreichbar ist, soll mutmaßlich zur Interaktion mit Hersteller-Apps dienen, war aber auch eine Einladung für die neugierigen Sicherheitsforscher. Sie konnten darüber Kopfhörer verschiedener Hersteller aus der Ferne übernehmen – und das ohne Anmeldung an einer App oder das bei Bluetooth übliche "Pairing". Mittels Vollzugriff auf Flash und RAM der Ohrstöpsel konnten sie zudem die Verbindungen zu anderen Geräten, etwa dem Smartphone des eigentlichen Nutzers, übernehmen.

Über einen Zugriff auf den Arbeitsspeicher des Bluetooth-Chips konnten die Forscher zunächst auslesen, welche Medien der Nutzer gerade abspielt, etwa einen Podcast oder ein Musikstück. Dieser Angriff ist jedoch mühselig: Da die Speicheradressen sich von Gerät zu Gerät unterscheiden, konnten die Forscher nicht einfach in einem vollbesetzten Bus wahllos Daten auslesen, sondern mussten ihren Angriff anpassen. Auf Android-Geräten konnten die Experten zudem die Telefonnummer des Geräts und eingehender Anrufe auslesen, bisweilen sogar die Anrufhistorie und das Adressbuch des Telefons.

Die ENRW-Forscher konnten auslesen, welche Musik auf einem Kopfhörer mit Airoha-Chipsatz abgespielt wird, hier ein Lied von Lady Gaga

Teamviewer warnt vor einer Sicherheitslücke in Teamviewer Remote Management für Windows, die Angreifern die Ausweitung ihrer Rechte am System ermöglicht. Aktualisierte Software-Pakete der Fernwartungslösung zum Stopfen des Sicherheitslecks stehen bereit.

In einer Sicherheitsmitteilung erklären die Teamviewer-Entwickler, dass Nutzerinnen und Nutzer mit niedrigen lokalen Rechten aufgrund der Schwachstelle Dateien mit SYSTEM-Rechten löschen können. Dies könne zur Ausweitung ihrer Rechte missbraucht werden (CVE-2025-36537 / EUVD-2025-19030, CVSS 7.0, Risiko "hoch"). Detaillierter lautet die Erklärung, dass eine nicht korrekte Rechtezuweisung für eine kritische Komponente im Teamviewer Client – sowohl Full, als auch Host – von Teamviewer Remote und der Monitoring-Komponente Tensor unter Windows es Usern mit niedrigen Privilegien ermöglicht, das Löschen beliebiger Dateien mit SYSTEM-Rechten anzustoßen. Das kann über den MSI-Rollback-Mechanismus ausgelöst werden.

Das betreffe lediglich die Fernverwaltungsfunktionen Backup, Monitoring und Patch-Verwaltung. Installationen unter Windows, die keine dieser Komponenten laufen haben, seien demnach nicht anfällig. Anzeichen für Angriffe über das Internet habe Teamviewer noch nicht entdeckt. Die Teamviewer-Software in Version 15.67 korrigiert den sicherheitsrelevanten Fehler. Teamviewer empfiehlt den Kunden, auf die jüngste verfügbare Version zu aktualisieren.

Auch für ältere Versionszweige stellt Teamviewer Updates bereit: Der Teamviewer Remote Full Client für Windows und Teamviewer Remote Host für Windows enthält das Sicherheitsleck in den Versionen 15.67, 14.7.48809, 13.2.36227, 12.0.259325 und 11.0.259324 nicht mehr. Außerdem gibt es für die Software unter Windows 7 und 8 noch das Update auf 15.64.5. Sie stehen auf der Downloadseite von Teamviewer zum Herunterladen bereit.

Auch im Januar hatte Teamviewer eine Sicherheitslücke zu vermelden, die bösartigen Akteuren das Ausweiten ihrer Rechte ermöglichte. Auch da war insbesondere die Windows-Software betroffen.

In der vergangenen Woche hatte Citrix vor mehreren Sicherheitslücken in Netscaler ADC und Gateways. Eine davon galt bereits als kritisch. Nun hat Citrix die Schwachstellenbeschreibung aktualisiert, was IT-Sicherheitsforscher an die CitrixBleed-Lücke aus 2023 erinnert, weshalb nun das Wort von "CitrixBleed 2" die Runde macht.

Hinter CitrixBleed verbirgt sich eine Sicherheitslücke in Netscaler ADC und Gateway (CVE-2023-4966 / EUVD-2023-54802, CVSS 9.4, Risiko "kritisch"), die es Angreifern erlaubt, aus der Ferne und ohne Authentifizierung im RAM auf gültige Session-Tokens zuzugreifen und diese zu extrahieren. Damit können sie die Anmeldung umgehen und auf Systeme zugreifen – und das machten die dann auch fleißig. Die originale Schwachstellenbeschreibung lautete: "Sensitive information disclosure in NetScaler ADC and NetScaler Gateway when configured as a Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) or AAA virtual server."

Die Sicherheitslücke aus der vergangenen Woche hatte erst eine allgemeinere Beschreibung, die Citrix am Montag dieser Woche nahezu unbemerkt aktualisiert hat. Zunächst hieß es, Angreifer können in Netscaler ADC und Gateway Speicherbereiche außerhalb vorgesehener Grenzen lesen, was auf unzureichende Prüfung von übergebenen Daten zurückgeht (CVE-2025-5777 / EUVD-2025-18497, CVSS 9.3, Risiko "kritisch").

Beinahe unbemerkt hat Citrix die Schwachstellenbeschreibung Anfang der Woche angepasst.

(Bild: Screenshot / dmk)

Bestimmte Versionen von Cisco Identity Services Engine (ISE) und ISE Passive Identity Connector (ISE-PIC) sind verwundbar. Nach erfolgreichen Attacken können Angreifer die volle Kontrolle über Systeme erlangen.

Über ISE steuern Admins unter anderem Netzwerkzugriffe von Firmenmitarbeitern. Die Anwendung kommt also an einer zentralen Stelle in Unternehmen zum Einsatz, wo Angriffe richtig wehtun können. Demzufolge sollten Admins zügig handeln und die Sicherheitspatches ISE/ISE-PIC 3.3 Patch 6 oder 3.4 Patch 2 installieren. Die ISE-Ausgaben bis einschließlich 3.2 sind nicht bedroht.

Wie aus einer Warnmeldung hervorgeht, sind beide Schwachstellen (CVE-2025-20281, CVE-2025-20282) mit dem Bedrohungsgrad "kritisch" und dem höchstmöglichen CVSS Score 10 von 10 eingestuft. In beiden Fällen können entfernte Angreifer ohne Authentifizierung an den Lücken ansetzen.

Aufgrund von unzureichenden Überprüfungen können Angreifer über präparierte API-Anfragen oder das Hochladen von manipulierten Dateien Schadcode mit Root-Rechten ausführen. Es ist davon auszugehen, dass Instanzen nach erfolgreichen Attacken vollständig kompromittiert sind. Cisco führt aus, dass es bislang noch keine Hinweise auf Attacken gibt.

Weiterhin haben die Entwickler von Cisco noch eine Sicherheitslücke (CVE-2025-20264 "mittel") in ISE geschlossen. Aufgrund von Fehlern in der SAML-SSO-Implementierung im Kontext von externen Identitätsanbietern können entfernte, aber authentifizierte Angreifer mit bestimmten Befehlen an der Lücke ansetzen. Sind Attacken erfolgreich, können sie Systemeinstellungen verbiegen. Dagegen sind die folgenden ISE-Ausgaben gerüstet: 3.2P8 (Nov 2025), 3.3P5 und 3.4P2.

Ende Februar machte der Chaos Computer Club (CCC) auf gravierende Sicherheitslücken bei den Websites von über 500 Restaurants in ganz Deutschland aufmerksam.

Dabei informierte der CCC aufgrund weiterhin offener Lücken wiederholt den zuständigen IT-Dienstleister Karvi Solutions GmbH. Wie viele Restaurantkunden insgesamt betroffen sind, ist bislang nicht bekannt. Ob alle Schwachstellen inzwischen behoben wurden, ist weiterhin unklar. Nun prüft der Hamburger Datenschutzbeauftragte Thomas Fuchs (HmbBfDI) den Fall.

Gegenüber heise online hatte der Geschäftsführer von Karvi Solution, Vitali Pelz, zuvor versichert, dass alle Lücken geschlossen und Daten der Betroffenen aus dem System gelöscht seien. Er erklärte, ein Mitbewerber habe versucht, den Ruf eines Restaurants durch die Manipulation einer "Order-Receiver-API" zu schädigen. Es seien bereits "alle verfügbaren Sicherheitsmaßnahmen implementiert" worden. Diese Verdächtigungen konnten nicht verifiziert werden. Auf weitere Rückfragen reagierte Pelz nicht.

Laut einem Sprecher des HmbBfDI bestehen jedoch noch offene Fragen. Bei der Behörde seien ebenfalls Beschwerden eingegangen – die Klärung laufe. Auf wen die Verantwortlichkeit fällt, "wird noch zu prüfen sein", teilte der Sprecher auf Anfrage von heise online mit.

Die entdeckten Sicherheitslücken reichten vom ungeschützten Zugriff auf das Backend der Websites über eine frei zugängliche Superadmin-Datenbank bis zu Klartextpasswörtern, die per SQL-Injection einsehbar waren. Zudem nutzten die Restaurants identische Zugangsdaten, und Rechnungs-URLs waren einsehbar. Offen zugängliche Backups enthielten neben dem Quellcode Kundendaten zahlreicher Restaurant-Websites.

Französischen Ermittlern ist ein weiterer Schlag gegen Datenhehler im Untergrund gelungen. Sie haben insgesamt fünf Administratoren des Darknet-Forums "BreachForums" festgenommen, vier davon Anfang dieser Woche. Nun sitzen die fünf Personen in Untersuchungshaft, das Forum ist bereits seit April offline. Ob es unter neuer Leitung wiedereröffnen wird, bleibt abzuwarten.

Die in dieser Woche festgenommenen Verdächtigen sind französische Staatsbürger und hören auf die Pseudonyme Hollow, Noct, Depressed und ShinyHunters. Der Fünfte im Bunde mit dem Spitznamen IntelBroker sitzt bereits seit Februar ein. Zugeschlagen haben die französischen Ermittler in den Départements Hauts-de-Seine im Großraum Paris, Seine-Maritime im Nordwesten des Landes und Réunion, einer französischen Insel im Indischen Ozean. Von der Festnahme hat zuerst die Zeitung Le Parisien berichtet. Ein Termin für das Gerichtsverfahren ist noch nicht bekannt.

Die fünf Verdächtigen waren mutmaßlich die Betreiber des Darknetforums und haben zudem häufig selber brisante Datenschätze veröffentlicht. Vor allem ShinyHunters und IntelBroker haben sich in den vergangenen Jahren durch zahlreiche Datenlecks profiliert. So bot IntelBroker Entwicklungsdaten von Cisco sowie AMD an und klaute Daten bei HPE. ShinyHunters hingegen zeichnete für einen Angriff auf den Veranstaltungskonzern LiveNation verantwortlich, in dessen Kielwasser ein anderes Forumsmitglied 170.000 Tickets für Konzerte der Sängerin Taylor Swift verteilte.

Die BreachForums wurden im April von Behörden mittels einer PHP-Sicherheitslücke geknackt und sind seitdem offline, offiziell aus Vorsicht. Es war das vermutlich größte Forum für Handel mit gestohlenen Daten – hier boten Kriminelle Passwortlisten und vertrauliche Geschäftsgeheimnisse an. Meist stammten diese aus IT-Angriffen oder wurden mittels Infostealern eingesammelt. Das Forum stand seit Jahren unter Beobachtung der Behörden und wurde erstmals im Jahr 2023 und erneut 2024 bereits durch diese gekapert.

Angreifer haben eine mit Schadcode präparierte Windowsversion von Sonicwalls VPN-Software NetExtender veröffentlicht. Darüber schneiden sie VPN-Zugangsdaten mit.

Davor warnt das IT-Unternehmen in einem aktuellen Beitrag. Über NetExtender stellen etwa Firmenmitarbeiter eine VPN-Verbindung ins Unternehmensnetzwerk her, um unter anderem auf Netzwerklaufwerke zuzugreifen.

In Zusammenarbeit mit Sicherheitsforschern von Microsoft ist Sonicwall nun auf eine mit Schadcode versehene Variante der VPN-Software gestoßen. Sie wurde auf einer Website angeboten, die wie die legitime NetExtender-Seite gestaltet war. Mittlerweile wurde die Website offline genommen und Windows stuft das Zertifikat, mit der die Fake-App signiert wurde, als nicht vertrauenswürdig ein. In welchem Umfang die Anwendung in Umlauf ist, ist derzeit nicht bekannt. Inzwischen sollten Virenscanner den Schadcode erkennen und Alarm schlagen.

Um zu erkennen, ob man die Fake-Version installiert hat, muss man die Eigenschaften der ausführbaren NetExtender-Datei öffnen und die "Digitale Signatur" prüfen. Steht dort "CITYLIGHT MEDIA PRIVATE LIMITED", handelt es sich um die verseuchte Version und Admins sollten sie umgehend löschen. Im Beitrag von Sonicwall findet man auch die Prüfsummen betroffener Dateien.

Sonicwall gibt an, dass die Cyberkriminellen die Dateien NEService.exe und NetExtender.exe mit Schadcode manipuliert haben. In der erstgenannten Datei haben die Angreifer die Validierung des Zertifikats entfernt, sodass die Datei starten kann, auch wenn die Signatur ungültig ist. In NetExtender.exe steckt Code, um VPN-Zugangsdaten inklusive Passwort zu kopieren und an einen Server der Angreifer zu schicken.

In den vergangenen Tagen machte sich bereits Unmut in einigen Internetforen breit, nun bestätigt Microsoft das Problem: Auf einigen Windows-Rechnern blockiert das Betriebssystem den Start etwa des Webbrowsers Google Chrome, ohne eine weitere Fehlermeldung anzuzeigen. Auslöser ist der aktivierte Kinderschutz "Microsoft Family Safety". Die Entwickler arbeiten an einer Lösung.

Im Windows-Release-Health-Message-Center erörtert Microsoft das Problem recht ausführlich. Die Redmonder holen weiter aus: "Bestimmte Gesetze erfordern, dass Microsoft Kinder vor schädlichen und illegalen Inhalten im Internet schützt. Daher erstellt Microsoft Werkzeuge für Eltern und Aufsichtsberechtigte, die ihnen helfen, die digitale Erfahrung der Kinder zu lenken und sie vor schädlichen und illegalen Online-Inhalten zu schützen".

Eines dieser Werkzeuge ist das "Filtern von Websites und Suchvorgängen mithilfe von Microsoft Family Safety". Etwa Microsofts Edge-Browser liefert diese Funktion, wodurch Edge als Standardbrowser auf von Kindern genutzten Geräten genutzt werden könne, sofern Webfilterung in Windows aktiviert ist. Bei aktivierter Webfilterung müssen Eltern oder Aufsichtspersonen andere Webbrowser zunächst freigeben, bevor sich diese nutzen lassen. "Das soll Eltern verstehen helfen, dass andere Einstellungen für andere Browser in Bezug auf das Blockieren unangemessener Webseiten und der Filterung von Suchergebnissen gelten", erklärt Microsoft weiter.

Das Blockieren funktioniere weiterhin – sofern ein Browser auf eine neue Version aktualisiert wird, kann Windows nichts blockieren, solange Microsoft den Browser nicht auf die Block-Liste setzt. Im Zuge von Aktualisierungen kann es temporär passieren, dass ein Browser nicht blockiert wird. "Wir arbeiten aktiv daran sicherzustellen, dass die jüngsten Versionen der Browser blockiert werden, und bekräftigen unsere Anstrengungen, Eltern und Aufsichtspersonen zu unterstützen", schreiben die Redmonder.

"Während Microsoft die Block-Liste aktualisierte, erreichten uns Berichte über ein neues Problem, das Google Chrome und ein paar andere Browser betrifft. Wenn Kinder versuchen, die zu öffnen, schließen sie sich unerwartet wieder", erörtern die Entwickler. Standardmäßig sollte jedoch eine Anfrage erscheinen, um die elterliche Zustimmung zur Nutzung einzuholen: "Du musst nachfragen, um diese App zu nutzen". Sofern die Zustimmung erteilt wurde, laufe der Browser wie erwartet. Sofern Aktivitätsberichte deaktiviert sind, kann dieses Verhalten auftreten.

Im November vergangenen Jahres gab Microsoft bekannt, dass auch Privatkunden einen erweiterten Support-Zeitraum für Windows 10 erhalten können. Nun konkretisiert das Unternehmen, wie es sich das vorstellt. Sogar eine "kostenlose Version" ist dabei.

In einem Blog-Beitrag erörtert Microsoft zunächst die Vorzüge von Windows 11 ausführlich, um dann kurz auf die Windows 10 Extended Security Updates (ESU) einzugehen. Um die PCs von Windows-10-Nutzern in der Übergangszeit zu Windows 11 nach dem Support-Ende am 14. Oktober 2025 weiterhin zu schützen, liefert Microsoft im ESU-Programm weiterhin monatliche "kritische und wichtige Sicherheitsupdates". Da Microsoft das nicht als Langzeitlösung vorsieht, gibt es jedoch keine neuen Funktionen, nicht-Sicherheitsupdates, Designänderungen oder technischen Support.

"Zum ersten Mal überhaupt können private Windows-10-PCs am ESU-Programm teilnehmen und monatlich kritische sowie wichtige Sicherheitsupdates erhalten, für ein Jahr, nachdem der Support im Oktober endet", präzisiert Microsoft dort. Privatkunden können also offenbar nicht das für Business-Kunden zugängliche ESU mit bis zu drei Jahren Laufzeit erhalten – nach derzeitigem Stand.

Ein ESU-Wizard soll durch die Windows-Benachrichtigungen und in den Windows-Einstellungen erscheinen, der die Teilnahme am ESU-Programm einfach direkt vom betroffenen PC aus ermöglicht. Dieser Wizard hat drei Optionen für die Teilnahme. Als Erste können Interessierte Windows Backup aktivieren, das die Einstellungen in die Cloud synchronisiert – das ist kostenlos und genügt, um das ESU zu aktivieren. Als Zweites können Nutzerinnen und Nutzer Microsoft Reward-Punkte einlösen. Dazu sind 1000 Stück nötig, es fallen keine Zusatzkosten an. Und schließlich steht als dritte und letzte Option die Zahlung von 30 US-Dollar zur Verfügung, wobei "lokale Preise abweichen können".

Nach der Auswahl einer Option und dem Befolgen der angezeigten Schritte erhält der PC die ESU-Updates. Der Zeitraum der Privatkunden-ESU läuft konkret vom 15. Oktober 2025 bis zum 13. Oktober 2026. Der ESU-Beitritts-Wizard steht ab heute im Windows Insider-Programm bereit und soll im Juli als Option an Windows-10-Kunden verteilt werden. Die allgemeine Verfügbarkeit plant Microsoft ab Mitte August 2025.

Eine nicht gepatchte Sicherheitslücke in Cisco-Routern diente einer chinesischen Cybergang als Einstiegspunkt in das Netzwerk eines kanadischen Telekommunikationsanbieters. Das berichtet die IT-Sicherheitsbehörde "Canadian Centre for Cyber Security" (oder auch kurz "Cyber Centre") und warnt vor derzeitigen Angriffen von staatlich unterstützten chinesischen Cyber-Banden.

Das Cyber Centre hat die Analyse zusammen mit dem US-amerikanischen FBI veröffentlicht. Damit wollen die Behörden vor der Gefahr durch chinesisch-staatlich unterstützte Bedrohungsakteure warnen, die globale Telekommunikationsanbieter infiltrieren und ausspähen wollen. Insbesondere die Gruppe Salt Typhoon steche heraus.

Die Angriffe laufen demnach aktuell auch gegen kanadische Telko-Anbieter. Bei einem nicht namentlich genannten Provider konnten Mitglieder der Gruppe Salt Typhoon Mitte Februar des Jahres eindringen. Sie haben dazu die Schwachstelle CVE-2023-20198 (EUVD-2023-24377) missbraucht, um von drei verwundbaren Geräten die Konfigurationsdateien zu sammeln und auf mindestens einem zu manipulieren, sodass Daten aus dem Netzwerk über einen dabei konfigurierten GRE-Tunnel ausgeleitet werden konnten.

Die Sicherheitslücke betrifft Ciscos IOS XE. Das Linux-basierte System läuft auf Routern und Switches von Cisco und bringt eine webbasierte Bedienoberfläche mit. Sofern die aktiv ist, können Angreifer die Sicherheitslücke missbrauchen, um direkt die komplette Kontrolle über das anfällige System zu übernehmen. Die Entwickler stufen die Schwachstelle mit einem CVSS-Wert von 10.0, mithin die Höchstwertung, daher als Risiko "kritisch" ein. Im Oktober 2023 wurde die Lücke bekannt und Cisco stellte aktualisierte Software bereit, um sie zu schließen. Die hat der angegriffene kanadische Telko-Anbieter offenbar über ein Jahr lang nicht installiert.

Die Untersuchungen der IT-Experten des "Cyber Centre" deuten darauf hin, dass die Ziele weiter reichen als lediglich in den Telekommunikationssektor. In einigen Fällen ermöglichte das Kompromittieren der Geräte das Ausspähen der Netzwerke oder das Infizieren weiterer Geräte, in anderen hingegen ging es lediglich darum, später erneut auf infiltrierte Geräte zuzugreifen (Reconnaisence). Für die kommenden zwei Jahre erwarten die IT-Sicherheitsexperten weitere Angriffe der chinesisch gelenkten Cybergang. Telekommunikationsanbieter seien dabei höchste Priorität, da Angreifer dort am weitreichendsten ausspähen könnten.