Comretix Blog

Die US-Cybersicherheitsbehörde CISA schraubt weiter an ihren Informationsangeboten für die Sicherheitsgemeinde. Nun dampft sie eine Webseite ein, die CISA-Alarme und -Sicherheitshinweise übersichtlich bündelte und RSS-Feeds anbot. Wer die Benachrichtigungen weiter erhalten will, muss sie von sozialen Medien besorgen oder sich bei einem Warndienst der US-Regierung anmelden. Zur Begründung gibt die CISA an, sie wolle wirklich dringenden Warnhinweisen die notwendige Aufmerksamkeit garantieren.

In einer am 12. Mai veröffentlichten Ankündigung führt die US-Cybersicherheitsbehörde als weiteren Grund an, Nutzer-Feedback habe bei der Veränderung eine Rolle gespielt. Welche Kategorien von Warnmeldungen genau betroffen sind, erwähnt die Ankündigung nur vage: "Cybersecurity-Updates und die Veröffentlichung neuer Anleitungen" würden nicht mehr in der Übersicht veröffentlicht. Darunter dürften Sicherheitshinweise (Advisories) fallen, aber auch detaillierte Analysen und Handlungsempfehlungen für US-Behörden.

Doch die Inhalte verschwinden nicht komplett – sie werden lediglich weniger prominent platziert. Ihrer Präsenz auf der Plattform X wird die CISA hingegen künftig mehr Bedeutung beimessen: Auf dem Konto @CISACyber erhalten Interessierte "zügige Cybersicherheits-Updates", erklärt die Behörde.

Auch der Katalog der "Known Exploited Vulnerabilities" (KEV, etwa: "bekannte ausgenutzte Schwachstellen") ist von den Veränderungen betroffen. Er büßt seine prominente Position auf der CISA-Übersichtsseite ein, auf der die Behörde noch bis zum 7. Mai 2025 jede Neuaufnahme in den Katalog veröffentlichte. Zudem fliegen die bekannten Schwachstellen aus den RSS-Feeds der Behörde, was die Arbeitsabläufe mancher Sicherheitsexperten und -werkzeuge stören könnte. Wer über bekannte Schwachstellen weiter auf dem Laufenden bleiben will, dem bleiben neben dem Blick auf X noch eine JSON- und eine CSV-Version der "Known Exploited Vulnerabilities". Letztere eignen sich besonders gut zur Weiterverarbeitung in Skripten und Automatismen.

Admins, die Installationen von IBM App Connect und Storage Scale verwalten, sollten die Software zeitnah auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer an mehreren Sicherheitslücken ansetzen und Systeme kompromittieren. Bislang sind keine Berichte zu Attacken bekannt.

Die Integrationssoftware App Connect ist über Schwachstellen in verschiedenen Komponenten wie Node.js und einem Python-Modul angreifbar. So können Angreifer Sicherheitsmaßnahmen umgehen oder Speicherfehler auslösen (beispielsweise CVE-2025-6827 "hoch"), was in der Regel zu Abstürzen führt. Außerdem werden Daten in einer Datenbank gespeichert, deren kryptografische Absicherung schwächer ist, als eigentlich angenommen (CVE-2025-1993 "mittel").

Wie konkrete Attacken ablaufen könnten, ist bislang nicht bekannt. Die Sicherheitsupdates für App Connect listet IBM in den unterhalb dieser Meldung verlinkt Warnbeiträgen auf.

IBM Storage Scale fasst unter anderem Daten, die an unterschiedlichen Standorten liegen, zusammen und stellt sie zum Abruf bereit. Hier sind unter anderem im Kontext von SSH-Verbindungen (CVE-2025-22869 "hoch") DoS-Attacken möglich. In einem Beitrag geben die Entwickler an, die Lücken in den Ausgaben 5.1.9.9 und 5.2.3.0 geschlossen zu haben.

Zuletzt sorgten mehrere Sicherheitslücken in IBM Business Automation Workflow für Schlagzeilen. In diesem Fall können Angreifer unter anderem auf eigentlich abgeschottete Zugangsdaten zugreifen.

Im WordPress-Plug-in TheGem, das mehr als 82.000-mal verkauft wurde und daher auf ähnlich vielen WordPress-Instanzen aktiv ist, haben IT-Forscher zwei Schwachstellen entdeckt. Eine kann Angreifern ermöglichen, Schadcode einzuschleusen und auszuführen. Eine aktualisierte Fassung steht bereit, die die Sicherheitslücken schließt.

TheGem ist ein Multifunktions-Plug-in, es stellt neben Themes auch direkt nutzbare Funktionen für selbst erstellte Webseiten bereit. Es ist kompatibel zu den populären WordPress-Website-Baukästen Elementor, WPBakery und WooCommerce.

Die IT-Sicherheitsforscher von Wordfence haben über ihr Bug-Bounty-Programm zwei Sicherheitslücken gemeldet bekommen. Aufgrund einer fehlenden Dateityp-Prüfung in der Funktion thegem_get_logo_url() können Angreifer beliebige Dateien hochladen, wodurch die Ausführung von eingeschleustem Schadcode und schließlich die vollständige Kompromittierung der Instanz möglich wird. Die Angreifer benötigen dafür mindestens Zugriffsrechte auf "Subscriber"-Level (CVE-2025-4317, CVSS 8.8, Risiko "hoch").

Die zweite Schwachstelle ermöglicht die Veränderung von Daten, da die ajaxApi()-Funktion unzureichende Prüfungen vornimmt. Dadurch können Angreifer mit "Subscriber"-Level-Zugang oder höheren Rechten beliebige Optionen des Themes aktualisieren (CVE-2025-4339, CVSS 4.3, Risiko "mittel").

Betroffen sind die TheGem-Versionen bis einschließlich 5.10.3, die Schwachstellen bessert hingegen das Update auf Version 5.10.3.1 aus. WordPress-Admins sollten die Aktualisierung zügig anwenden.

Apples am Montagabend publizierte Betriebssystemupdates für iPhone, Mac, iPad, Apple Watch, Apple TV und Vision Pro enthalten einmal mehr ein ganzes Bündel an sicherheitsrelevanten Fehlerbehebungen. Einige der Bugs sind kritisch, zudem wurde erstmals eine Lücke in Apples mit dem iPhone 16e eingeführtem Mobilfunkmodem C1 entdeckt und geschlossen. Auch ältere Betriebssysteme erhielten eine Aktualisierung, wie üblich aber nicht mit allen Fixes.

Die Updates auf iOS 18.5 (iPhone) und iPadOS 18.5 (iPad) kommen mit über 30 von Apple näher ausgeführten Fehlerbehebungen. Hinzu kommen 15 "Credits", bei denen Apple nur den Bereich nennt, in dem ein Fix eingearbeitet wurde, neben den Angaben des jeweiligen Melders aber keinerlei weitere Angaben macht. Dies wird zumeist Wochen oder Monate später nachgeholt – offenbar, um zu verhindern, dass (zu schnell) Exploits entwickelt werden, auch wenn Sicherheitsexperten eine solche "Security through Obscurity" stets ablehnen.

Mindestens zwei der von Apple genannten Lücken – eine im Kernel, eine im Security-Framework – lassen sich aus der Ferne ausnutzen, um Apps zu beenden beziehungsweise Speicher auszulesen. Die Bereiche, die Fixe erhielten, sind unter anderem die Bilderleseroutine AppleJPEG (manipulierte Dateien konnten Prozessspeicher schädigen und Apps abstürzen lassen), in Core Bluetooth (sensible Nutzerdaten konnten leaken), in CoreGraphics (dito), CoreMedia (App-Absturz) sowie FaceTime (Denial of Service) und iCloud-Document-Sharing (Angreifer konnte Ordner freigeben, ohne sich anzumelden). Teils kritische Fehler steckten auch in der Browser-Engine WebKit, in mDNSResponder und weiteren Systemteilen. Interessant: Erstmals wurde Apple ein Bug im C1-Chip gemeldet, der auch gefixt wurde. Beim iPhone 16e war es demnach möglich, dass ein Angreifer Datenverkehr mitlauscht, allerdings nur, wenn er sich in einer "privileged network positon" befand. Was das konkret heißt – etwa ob die Person im WLAN sein musste oder im Mobilfunknetzwerk selbst –, gibt Apple nicht an.

Über 45 behobene Fehlerbereiche nennt Apple bei macOS 15.5. Details zu mehr als einem weiteren Dutzend kommuniziert der Konzern (noch) nicht. Neben den in iOS 18.5 und iPadOS 18.5 behobenen Problemen sind unter anderem der afp-Daemon betroffen (Fehler konnte zum Systemabsturz führen), Apple Intelligence (KI-Berichte waren Apps zugänglich), BOM und Audio (Abstürze durch Web-Inhalte und Apps), Finder (Zugriff auf sensible Daten durch Apps), ProRes (Abstürze des Systems und des Kernels) und Sandbox (Datenschutzlücken). Auch zahlreiche Bugs in WebKit wurden behoben.

Für ältere Systeme stehen macOS 13.7.6 (Ventura) und macOS 14.7.6 zum Download bereit. Sie beheben einen Teil der Lücken aus macOS 15. Einige Fixes werden außerdem für iPadOS 17 in Form von iPadOS 17.7.7 ausgeliefert. Safari 18.5, das Teil von macOS 15.5 ist, gibt es für Ventura und Sonoma auch als Einzel-Update, das die WebKit-Fehlerbehebungen enthält. Dringend aktualisieren sollte man auch die Apple Watch (watchOS 11.5), Apple TV (tvOS 18.5 und Vision Pro (visionOS 2.5). Viele der in iOS 18.5 und macOS 15.5 behobenen Probleme werden auch in den anderen Systemen angegangen.

Wer einen Desktop-PC mit Asus-Mainboard unter Windows betreibt, sollte Updates für die Funktionen "Armoury Crate" und "DriverHub" einspielen. Denn in diesen Funktionen stecken Fehler, die Angreifer missbrauchen können, um Malware ferngesteuert auf dem Rechner zu installieren. Daher ist der Schweregrad der Sicherheitslücken CVE-2025-3462 und CVE-2025-3463 auch als "hoch" beziehungsweise "kritisch" eingestuft.

Updates für "DriverHub" verteilt Asus über diese fehlerhafte Update-Automatik selbst und stellt Armoury Crate in der korrigierten Version v6.1.13 zum Download bereit.

Ärgerlich ist an den Schwachstellen, dass sie ein Konzept nutzen, welches Fachleute seit mehr als zehn Jahren als unsicher kritisieren. Die im UEFI-BIOS verankerte Download-Automatik für Windows-Software wurde schon mehrfach für Angriffe genutzt, unter anderem für die "Lojax"-Attacke mittels UEFI-Rootkit.

Quelle des Übels sind Funktionen von Windows zur automatischen Installation von Software, die im Flash-Speicher des Mainboards für das UEFI-BIOS abgelegt sind.

Der Mainboard-Hersteller packt dazu ausführbare Dateien oder Treiber mit ins BIOS-Image und trägt sie in die Windows Platform Binary Table (WPBT) ein. Diese ACPI-Tabelle (Advanced Configuration and Power Interface) wertet Windows nach dem Booten aus und installiert die dort verknüpfte Software.

In der Republik Moldau haben die Behörden einen Verdächtigen festgenommen, der mit Ransomware-Attacken auf niederländische Unternehmen im Jahr 2021 in Verbindung gebracht wird. Das berichtete am Montag die Cybersecurity-Webseite Bleeping Computer.

Dem Bericht zufolge durchsuchten Polizeibeamte am vergangenen Dienstag die Wohnung und das Auto des Verdächtigen und beschlagnahmten eine elektronische Geldbörse, 84.800 Euro, zwei Laptops, ein Mobiltelefon, ein Tablet, sechs Bankkarten und mehrere Datenspeichergeräte. Die Verhaftung sei das Ergebnis einer gemeinsamen Aktion der moldawischen Staatsanwaltschaft, des Zentrums für die Bekämpfung von Cyberkriminalität der Republik Moldau sowie der niederländischen Strafverfolgungsbehörden, schreibt Bleeping Computer.

Der 45-jährige Verdächtige befindet sich seit seiner Festnahme in Haft; ein Auslieferungsverfahren in die Niederlande soll eingeleitet werden. Zu seiner Nationalität machten die Behörden keine Angaben. In einer Pressemitteilung der moldawischen Polizei ist lediglich die Rede von einem "ausländischen Staatsangehörigen, der sich vorübergehend in der Republik Moldau aufhält". Er werde "international wegen der Begehung mehrerer Cyberstraftaten (Ransomware-Angriffe, Erpressung und Geldwäsche) gegen Unternehmen mit Sitz in den Niederlanden gesucht", heißt es weiter.

Der Mann soll demnach im Jahr 2021 einen Ransomware-Angriff auf die Niederländische Organisation für wissenschaftliche Forschung (NWO), die nationale niederländische Wissenschaftsorganisation, organisiert haben. Die NWO machte den Vorfall Mitte Februar 2021 öffentlich. Der Angriff habe sie gezwungen, ihr System zur Beantragung von Fördermitteln abzuschalten, hieß es damals. Der entstandene Schaden wurde auf rund 4,5 Millionen Euro beziffert. Nachdem sich die NWO geweigert hatte, ein gefordertes Lösegeld zu zahlen, veröffentlichten die Angreifer die gestohlenen Dokumente auf der Dark-Web-Leak-Site von DoppelPaymer.

DoppelPaymer ist eine Schadsoftware, die 2019 auftauchte, als Cyberkriminelle begannen, den Erpressungstrojaner für Angriffe auf Organisationen, kritische Infrastrukturen und Branchen zu verwenden. Er basiert auf der BitPaymer-Ransomware und gehört zur Dridex-Malware-Familie. Laut dem Europäischen Polizeiamt (Europol) verwendet die Ransomware "ein einzigartiges Instrument, das in der Lage ist, Verteidigungsmechanismen zu kompromittieren". Dabei werden sicherheitsrelevante Prozesse der angegriffenen Systeme gestoppt oder unterlaufen. Die dabei erbeuteten Dateien werden, wie im Fall NWO, von den Cyberkriminellen nicht selten eingesetzt, um Lösegeldzahlungen zu erzwingen.

Microsoft hat nun den Umgang mit Microsoft-365-Apps unter Windows 10 nach dem Support-Ende des Betriebssystems erläutert. Spoiler: Auch nach dem offiziellen Support-Ende von Windows 10 am 14. Oktober 2025 sollen die Microsoft-365-Apps Unterstützung unter dem veralteten Betriebssystem bekommen – jedoch eingeschränkt.

Zunächst erklärt Microsoft in einem Support-Artikel dazu, dass Apps wie Word natürlich weiter funktionieren, wenn Windows 10 sein Support-Ende erreicht. Jedoch könne der Einsatz eines nicht unterstützten Betriebssystems zu Performance- und Verlässlichkeits-Einbußen der MS-365-Apps führen. Daher sollten Organisationen, die noch MS-365-Apps unter Windows 10 einsetzen, auf Windows 11 umziehen.

"Um in der Übergangszeit zu Windows 11 sicher zu bleiben, wird Microsoft weiterhin Sicherheitsupdates für Microsoft-365-Apps unter Windows 10 bereitstellen, für drei Jahre, nachdem Windows 10 am Support-Ende angelangt ist", verspricht Microsoft. "Diese Updates werden durch die Standard-Update-Kanäle ausgeliefert und enden am 10. Oktober 2028."

Microsoft schränkt jedoch den Support wie üblich ein, wenn Produkte am Ende ihres Lebenszyklus angelangt sind. Kunden mit gültigem MS-365-Abonnement können weiterhin Support-Fälle öffnen. Sofern die MS-365-Apps jedoch unter Windows 10 laufen, gelten dann nachfolgende Einschränkungen: Wenn das Problem ausschließlich bei MS-365-Apps unter Windows 10 – ganz gleich, ob Windows 10 oder Windows 10 mit Extended Security Updates (ESU) – und nicht unter Windows 11 auftritt, wird der Support Betroffene auffordern, auf Windows 11 zu wechseln.

Sollten Kunden nicht auf Windows 11 wechseln können, liefert der Support ausschließlich Unterstützung bei der Problembehebung. Technische Gegenmaßnahmen können eingeschränkt oder sogar nicht verfügbar sein. Supportfälle für MS-365-Apps unter Windows 10 (mit oder ohne ESU) umfassen nicht die Option, einen Bug zu melden oder andere Produkt-Updates anzufordern. Das endgültige Support-Ende fällt dann mit dem Ende des erweiterten Windows-10-Supports im ESU-Programm zusammen.

Die Virenschutzsoftware der Marken Avast, AVG, Avira und Norton von Gen Digital bringt unter anderem System-Optimierungsdienste und weitere Komponenten mit, die Schwachstellen enthalten. Nutzerinnen und Nutzer der betroffenen Software sollten prüfen, ob sie neuere Versionen installiert haben als die bekannt verwundbaren.

Gen Digital hat bislang keine Übersicht oder eigene Schwachstellenmeldungen mit weitergehenden Informationen veröffentlicht. Am Wochenende hat die Mutterfirma jedoch mehrere CVE-Schwachstelleneinträge herausgegeben, die verwundbare Versionen und Komponenten benennen.

Die einzelnen Meldungen nennen folgende Programme und Komponenten:

Bei allen bis auf die letzte Schwachstelle handelt es sich um Lücken, durch die Angreifer aufgrund ungeprüfter Folgen von Verknüpfungen ihre Rechte im System ausweiten können (Link Following). Bei den meisten Lücken steht in der Beschreibung, dass lokale Angreifer beliebigen Code im SYSTEM-Kontext ausführen können, indem sie einen symbolischen Link anlegen und eine "Time-of-Check Time-of-Use"-Attacke starten. Die zuletzt gelistete Sicherheitslücke ermöglicht hingegen, durch das mögliche Löschen beliebiger Dateien an Systemrechte zu gelangen.

Zwar nennen die meisten CVE-Einträge Windows 10 als Kontext, es ist aber nicht ersichtlich, warum die Software auf anderen Windows-Versionen nicht anfällig sein sollte. Da Gen Digital keine näheren Informationen herausgibt, bleibt Nutzern der verwundbaren Software nur, zu prüfen, ob die bei ihnen installierte Fassungen bereits neuer sind. Gegebenenfalls sollten sie dann den Update-Prozess anstoßen – oder nach Möglichkeit, wenn die Bestandteile ohnehin nicht genutzt werden, etwa die Systemoptimierungskomponenten deinstallieren.

Google erweitert den Schutz vor Betrug im Chrome-Browser. Sowohl auf Android als auch auf dem Desktop und der Suche kommt dafür nun ein lokales KI-Modell zum Einsatz: Gemini Nano.

Wie der Konzern in einem Blogbeitrag schreibt, soll das lokale KI-Modell Gemini Nano im Desktop-Browser Nutzer vor Online-Betrug zu schützen. Außerdem führt Google neue KI-basierte Warnungen für Chrome auf Android ein, um vor Spam-Benachrichtigungen zu warnen.

Der erweiterte Schutzmodus der Safe-Browsing-Einstellung im Chrome-Browser stellt laut Google die "höchste Schutzstufe" dar und schützt Nutzer "doppelt so gut vor Phishing und anderen Betrügereien wie der Standardschutzmodus". Bislang setzte Google auf einen serverseitigen URL-Scan. Der On-Device-Ansatz soll einen schnelleren Einblick in potenziell riskante Websites liefern.

Die Chrome-Funktion "Erweitertes Safe Browsing" setzt nun auf Gemini Nano.

(Bild: heise online)

Microsoft Teams soll künftig die Möglichkeit bieten, unerlaubte Bildschirmaufnahmen von Teams-Konferenzen zu verhindern. So sollen die Inhalte der Konferenz wie geteilte Bildschirminhalte oder die Webcam-Ansichten der einzelnen Teilnehmer besser geschützt werden.

Wie in der Microsoft 365 Roadmap zu lesen ist, arbeitet das Softwareunternehmen an einer entsprechenden Funktion namens "Prevent Screen Capture" ("Bildschirmaufnahme verhindern"). Wenn diese aktiviert ist, färbt sich das Windows-Fenster mit der Teams-Konferenz schwarz, sobald ein Nutzer versucht, eine Bildschirmaufnahme zu machen.

Genauere Angaben macht Microsoft nicht, aber logischerweise dürfte das nur bei den Nutzern passieren, die sich gerade an einer Bildschirmaufnahme versuchen. Unklar ist allerdings noch, ob die neue Funktion standardmäßig eingeschaltet sein wird oder ob die Organisatoren einer Konferenz sie zunächst anschalten müssen. Denkbar wäre theoretisch auch, allen Teilnehmern individuell die Entscheidung zu ermöglichen – dann wären Bildschirmaufnahmen nicht mehr möglich, sobald nur ein Nutzer Bildschirmaufnahmen verbietet.

Blöd könnte es allerdings für Nutzer werden, deren Gerät die neue Funktion nicht unterstützt: Diese sollen künftig nur noch mit Audio-Ansicht teilnehmen können, wenn ihr Teams-Klient die neue Funktion nicht unterstützt. Auch hier bleibt Microsoft genauere Angaben schuldig, etwa welche Konstellationen unter diese Kategorie fallen könnten. Wer dagegen nur eine veraltete Teams-Version hat, ist sowieso schnell aufgeschmissen: Microsoft will Teams-Klienten, die älter als 90 Tage sind, grundsätzlich unbrauchbar machen.

Die neue Funktion ist für Android, Windows, Mac, iOS, und die Teams-Web-App geplant und soll im Juli 2025 kommen. Ganz verhindern lassen sich unerwünschte Aufnahmen von Teams-Konferenzen natürlich nicht. Es wäre mit der neuen Funktion immer noch möglich, mit einer externen Kamera, zum Beispiel des eigenen Smartphones, den Bildschirm zu filmen oder zu fotografieren.

Microsoft räumt erneut Probleme mit Windows Updates ein. Dieses Mal hat es Windows Server getroffen, die nach der Installation der Sicherheitsupdates vom April-Patchday im Active-Directory-Betrieb Authentifizierungsprobleme mit "Windows Hello for Business" verursachen können.

In den Windows-Release-Health-Notizen geht Microsoft auf die Probleme ein und beschreibt eine temporäre Gegenmaßnahme. Nach der Installation der April-Softwareflicken können AD-Domain-Controller Probleme bei der Verarbeitung von Kerberos-Log-ons oder der Delegation davon mit zertifikatsbasierten Zugangsdaten haben, die auf vertraute Schlüssel mittels des Active-Directory-"msds-KeyCredentialLink"-Felds setzen. Das kann zu Authentifizierungsproblemen mit "Windows Hello for Business" führen, wenn die Umgebung davon zur Nutzung von vertrauenswürdigen Schlüsseln ("Key Trust") konfiguriert ist oder sofern die Umgebung auf Device-Public-Key-Authentifizierung setzt, was auch als "Machine PKINIT" bekannt ist.

Das könne auch weitere Produkte betreffen, die auf diese Funktionen setzen. Dazu gehören Smart-Card-Authentifizierungsprodukte, Single-Sign-On-Lösungen von Drittherstellern und Identitäts-Management-Systeme. Die betroffenen Protokolle sind Kerberos-Public-Key-Kryptografie für die initiale Authentifizierung (Kerberos PKINIT) und Zertifikat-basierte "Service-for-User"-Delegation (S4U) mittels sowohl Kerberos Constrained Delegation (KCD oder A2D2-Delegation) als auch Kerberos Ressourcen-basierte Constrained Delegation (RBKCD oder A2DF-Delegation), erklärt Microsoft weiter. Home-User seien vermutlich seltener betroffen, da DCs für die Authentifizierung eher im Geschäfts- und Enterprise-Umfeld angesiedelt seien.

Auslöser sind Schutzmaßnahmen für die Kerberos-Authentifizierung gegen die Schwachstelle CVE-2025-26647 / EUVD-2025-10222 (CVSS 8.8, Risiko "hoch") – eine unzureichende Eingabeprüfung von Kerberos, die Angreifer aus dem Netz ohne vorherige Authentifizierung zum Ausweiten ihrer Rechte missbrauchen können. Microsoft hat in einem Support-Artikel nähere Informationen dazu zusammengetragen.

Dadurch wurde die Methode geändert, mit der DCs Zertifikate überprüfen, die Kerberos zur Authentifizierung nutzt. Mit den April-Updates prüft Windows, ob ein Zertifikat mit einer Wurzel im NTAuth-Speicher verknüpft ist. Ist der Wert des Registry-Eintrags "AllowNtAuthPolicyBypass" im Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc" nicht gesetzt, nimmt Windows dafür standardmäßig den Wert "1" an. Das kann zu zwei Symptomen führen. Erstens, bei einem Wert "1" von "AllowNtAuthPolicyBypass", dass die Event-ID 45 wiederholt im System-Ereignisprotokoll auftaucht, mit einer Nachricht der Art "The Key Distribution Center (KDC) encountered a client certificate that was valid but did not chain to a root in the NTAuth store". Außer den teils exzessiven Log-Einträgen hat das jedoch keine Auswirkungen – die Log-ons klappen.

Beim europaweit agierenden und nach eigenen Angaben größten Parkhausbetreiber APCOA gab es ein Datenleck, das es ermöglichte, unter anderem die Daten von Kunden einzusehen. Dabei waren Rechnungen von Firmenkunden sowie die digitalen Tickets für Android- und Apple-Wallet abrufbar. Um die Lücke auszunutzen, reichte es aus, in einer für Kunden einsehbaren URL die Buchungsnummer am Ende hoch- oder herunterzuzählen.

Betroffen sind viele verschiedene Standorte, an denen APCOA seinen Service anbietet. So konnten wir bei unserer Recherche Daten von Parkhäusern aus Deutschland, Dänemark, Polen, Irland und Italien abrufen. APCOA betreibt nach eigenen Angaben 12.000 Standorte in zwölf europäischen Ländern, darunter solche an 58 europäischen Flughäfen. Bemerkenswert: Die Buchungssysteme sind online meist unterhalb der Domain zum Beispiel des Flughafens erreichbar, an dem das Parkhaus steht. Im Hintergrund scheint bei APCOA aber nur eine einzige Datenbank mit einem Nummernkreis zu arbeiten, denn durch Inkrementieren oder Dekrementieren der Nummer war es möglich, unter einer URL die Datensätze anderer APCOA-Standorte anzuzeigen.

Auf npm sind kompromittierte Varianten des Pakets "rand-user-agent" aufgetaucht, die einen Remote-Access-Trojaner (RAT) an Bord hatten. Der Random User Agent ist zwar als veraltet gekennzeichnet, kommt aber nach wie vor auf gut 40.000 wöchentliche Downloads. Wer es in den vergangenen Wochen verwendet hat, könnte sich Schadcode eingefangen haben.

Das Paket generiert User-Agents-Strings, also Zeichenketten, die Clients wie Browser an einen Server schicken. Der Herausgeber des Pakets WebScrapingAPI nutzt es für das Web-Scraping. Es lässt sich aber auch für andere Zwecke wie automatisierte Tests oder Sicherheitschecks verwenden.

Die letzte offizielle Version 2.0.82 ist sieben Monate alt, und der Herausgeber WebScrapingAPI hat das Paket als deprecated (veraltet) gekennzeichnet. Das auf der npm-Seite verlinkte GitHub-Repository existiert inzwischen nicht mehr.

Das auf Supply-Chain-Security spezialisierte Unternehmen aikido hat jedoch später veröffentlichte Versionen des Pakets auf npm gefunden. Diese haben in der Datei dist/index.js Schadcode eingeführt, der in der Vorschau auf npm nicht auf Anhieb zu sehen und zudem mehrfach verschleiert war.

Der Code richtet einen verdeckten Kanal zur Kommunikation mit einem Command-and-Control-Server (C2) ein und installiert Module in einem Ordner namens .node_modules. Der Client schickt anschließend unter anderem eine ID und Informationen zum verwendeten Clientbetriebssystem an den Server.

Unter anderem BIG-IP Next Central Manager und Next SPK sind aufgrund von mehreren Sicherheitslücken verwundbar. Auch die Appliances-Betriebssysteme F5OS-A und F5OS-C sind attackierbar. Nun bietet F5 Sicherheitspatches an, die Admins zeitnah installieren sollten. Bislang gibt es keine Berichte zu Attacken.

In einer Übersicht listet F5 neben den betroffenen Produkten auch die jeweils abgesicherten Versionen auf. Admins sollten sich diese Auflistung genau anschauen, um die für sie relevanten Sicherheitspatches ausfindig zu machen und zu installieren.

Am gefährlichsten gilt dem Hersteller eine Schwachstelle (CVE-2025-36546 / EUVD-2025-13944, CVSS 8.1, Risiko "hoch") in F5OS-A und F5OS-C. Appliances sind aber nur verwundbar, wenn Admins die Authentifizierung via SSH erlauben und anschließend den Appliance-Modus aktiviert haben. Das Sicherheitsproblem ist, dass die Anmeldung über einen SSH-Schlüssel dann immer noch möglich ist.

Dafür muss ein Angreifer aber in den Besitz eines SSH-Schlüssels eines Root-Benutzers kommen. Trotz dieser Voraussetzungen und Hürden ist die Lücke mit dem Bedrohungsgrad "kritisch" eingestuft. Die Entwickler versichern, die Schwachstelle in F5OS-A 1.5.3 und 1.8.0 und F5OS-C 1.8.0 geschlossen zu haben. In diesen Ausgaben haben die Entwickler noch weitere Sicherheitslücken beseitigt. So können sich Angreifer etwa höhere Nutzerrechte verschaffen (CVE-2025-46265 / EUVD-2025-13942, CVSS 8.8, "hoch").

Weiterhin sind noch divesers BIG-IP-Appiances wie Next CNF und Next SPK und Module bedroht. An diesen Stellen sind unter anderem DoS-Attacken (CVE-2025-41399 / EUVD-2025-13946, CVSS 7.5, "hoch") möglich. Angreifer können aber auch eigene Befehle ausführen (CVE-2025-31644 / EUVD-2025-13936, CVSS 8.7, "hoch"), um Systeme zu manipulieren.

Neue Sicherheitslücken haben IT-Forscher in den Sonicwall SMA100-Firewalls entdeckt. Durch eine Verkettung mehrerer der als hochriskant eingestuften Schwachstellen können Angreifer die Kontrolle über verwundbare Geräte übernehmen.

In einer Sicherheitsmitteilung beschreiben die Sonicwall-Entwickler die Sicherheitslücken. Als am gravierendsten haben sie eine Schwachstelle im SSL-VPN eingestuft, durch die Angreifer aus dem Netz nach einer Anmeldung eine Pfad-Prüfung auf Path-Traversal umgehen und dadurch beliebige Dateien löschen können. SMA100-Geräte lassen sich dadurch auf Werkseinstellungen zurücksetzen, die nach einem Neustart aktiv werden (CVE-2025-32819 / EUVD-2025-13910, CVSS 8.8, Risiko "hoch"). Die Einstufung als "kritisches" Risiko verpasst die Lücke nur sehr knapp.

Aufgrund einer zweiten Lücke können angemeldete Angreifer aus dem Netz mit User-Rechten eine Path-Traversal-Sequenz einschleusen und damit jedes Verzeichnis auf SMA100-Appliances schreibbar machen (CVE-2025-32820 / EUVD-2025-13913, CVSS 8.3, Risiko "hoch"). Die dritte Sicherheitslücke ermöglicht bösartigen Akteuren aus dem Netz mit SSL-VPN-Adminrechten, Kommandozeilenbefehle als Argumente bei einem Dateiupload auf die Appliances einzuschmuggeln (CVE-2025-32821 / EUVD-2025-13911, CVSS laut EUVD 7.1, Risiko "hoch").

Die IT-Sicherheitsforscher von Rapid7 haben die Schwachstellen genauer analysiert und die Erkenntnisse detailliert in einen Blog-Beitrag gegossen. Sie zeigen, wie sie die Sicherheitslecks verknüpfen, um mit Zugriff auf ein SSL-VPN-Konto ein wichtiges Systemverzeichnis schreibbar machen, ihre Rechte zum SMA-Admin erhöhen und eine ausführbare Datei in ein Systemverzeichnis schreiben. Dadurch können sie beliebigen Code aus dem Netz einschleusen und ausführen – mit "root"-Rechten.

Betroffen sind die Sonicwall-Appliances der SMA100-Baureihe, konkret nennt der Hersteller SMA 200, 210, 400, 410 und 500v. Die sind mit Firmware-Ständen 10.2.1.14-75sv oder älter angreifbar. Das Problem behebt das Update auf den Stand 10.2.1.15-81sv und neuer der Firmware.

Zum Start der Outdoor-Saison werden viele mit dem Gedanken spielen, sich ein neues Fahrrad oder Radzubehör zu kaufen – vielleicht im Internet. Vor einer Bestellung bei unbekannten Onlineshops sollte man diese aber unbedingt genau prüfen, um nicht auf einen Fakeshop hereinzufallen. Aktuell warnt die Verbraucherzentrale Niedersachsen beispielsweise vor der betrügerischen Webseite "Fahrrad-Discount24.de".

Diese macht sich nicht mit durchgängig unglaubwürdig günstigen Preisen verdächtig. Und sie ist auch auf den zweiten Blick kaum als Fakeshop zu erkennen: Professionelle Gestaltung, viele Informationen, ein Impressum, Allgemeine Geschäftsbedingungen und Kontaktangaben geben erst einmal keinen Anlass für Zweifel – typisch für moderne Betrugsseiten.

Auch und gerade deshalb ist es wichtig, etwa den Fakeshop-Finder der Verbraucherzentralen zu nutzen. Das Tool analysiert Seiten anhand verschiedenster Faktoren und gibt dann eine Einschätzung ab. Diese fällt bei besagter Webseite recht eindeutig aus: "rotes Licht". Also höchstwahrscheinlich ein Fakeshop.

Tatsächlich seien das Impressum und der Handelsregistereintrag von "Fahrrad-Disocunt24.de" falsch, erklärt die Verbraucherzentrale Niedersachsen. Unternehmensnamen und Adressdaten verwende der Fakeshop missbräuchlich einem echten Anbieter, der nach eigenen Angaben bereits rechtliche Schritte eingeleitet hat. Zudem wurde die Domain erst kürzlich registriert, was auch ein starkes Indiz für eine betrügerische Seite ist.

Im Zweifel lohnt es sich auch immer, die Internetadresse in eine Suchmaschine oder die vermeintliche Shop-Anschrift bei einem Kartendienst einzugeben, um zu prüfen, ob dort die auf der Seite genannte Firma tatsächlich auftaucht – oder vielleicht eine andere oder auch gar keine, raten die Verbraucherschützer. Zudem stößt man so im Netz möglicherweise schon auf Warnungen anderer, die den jeweiligen Shop betreffen.