Comretix Blog

Die Online-Wett-Plattform 1win hatte im November einen IT-Vorfall, bei dem Daten der rund 96 Millionen Nutzerinnen und Nutzer von Angreifern kopiert wurden. Diese sind nun im digitalen Untergrund aufgetaucht. Troy Hunt hat sie erhalten und konnte sie der Datenbank seines Have-I-Been-Pwned-Projekts (HIBP) hinzufügen.

Anzeige

Ein kurzer Eintrag auf der HIBP-Webseite erörtert das Datenleck beim Wett-Anbieter. Demnach umfasst der Datensatz E-Mail-Adressen, IP-Adressen, Telefonnummern, geografische Position, Land, Geburtsdaten sowie mit SHA-256 gehashte Passwörter. 1win ist auch auf Deutsch verfügbar, wie viele Nutzer konkret aus dem DACH-Raum betroffen sind, ist jedoch nicht bekannt.

Diese Daten können Betrüger nutzen, um gezieltere und glaubwürdigere Phishing-Attacken gegen potenzielle Opfer zu starten. Wer die Wett-Plattform 1win vor dem November 2024 genutzt hat, sollte daher besonders bei E-Mails aus dem Themenkreis Online-Wetten Vorsicht walten lassen.

Ob die eigenen Daten bei diesem oder anderen Datenlecks aufgetaucht sind, können Interessierte auf der Hauptseite von Have I Been Pwned durch Eingabe ihrer E-Mail-Adresse herausfinden. Wer seine E-Mail-Adresse dort registriert, kann sich auch informieren lassen, wenn die eigene Adresse in Datenhalden von Infostealern auftauchen. Das ist Malware, die auf Rechnern von Opfern Daten sammelt und an die Server der Täter schickt, in der Regel komplette Zugangsdaten aus Nutzernamen und Passwörtern. Da diese Informationen die Privatsphäre verletzen können, lassen sich diese Funde nicht durch simple Eingabe der E-Mail-Adresse herausfinden.

Im Linux-Client von HP Anyware hat HP eine Sicherheitslücke entdeckt. Sie ermöglicht die Ausweitung der Rechte. Updates stehen bereit, um das Sicherheitsleck zu stopfen.

Anzeige

In einer Sicherheitsmitteilung warnt HP vor der Schwachstelle. Mit Details hält sich das Unternehmen zurück. "Eine mögliche Schwachstelle wurde in HP Anyware Agent für Linux entdeckt, die eine Umgehung der Authentifizierung erlauben und im Ergebnis zu einer Ausweitung der Berechtigungen führen könnte", beschreibt HP die Sicherheitslücke (CVE-2025-1003, CVSS 8.5, Risiko "hoch"). Das klingt wesentlich harmloser, als es die Risikoeinstufung nach CVSS ausdrückt – die ist der Stufe "kritisch" (>=CVSS 9.0) deutlich näher als "mittel" (CVSS <7.0).

Wie die Lücke genau aussieht und wie Angreifer sie missbrauchen können, erörtert HP nicht. Eine temporäre Gegenmaßnahme empfiehlt HP jedoch, sollte ein umgehendes Update noch nicht möglich sein: In der Konfiguration sollen IT-Verantwortliche durch das Setzen von "pcoip.session_retry_timeout" auf "0" die "PC over IP"-Funktion, einem "sicheren Remote-Display-Protokoll", deaktivieren.

Die Schwachstelle haben HPs Entwickler in Version 24.10.2 sowie 24.07.5 von HP Anyware Agent für Linux ausgebessert. Die Sicherheitsmitteilung verlinkt die unterschiedlichen Installationspakete. Admins sollten aufgrund der Risikoeinstufung das Update zügig herunterladen und anwenden.

Der iX-Workshop IT-Sicherheit: Aktuelle Angriffstechniken und ihre Abwehr beschäftigt sich mit aktuellen Angriffstechniken und den sich daraus ergebenden notwendigen Schutzmaßnahmen für Ihre IT-Systeme vor potenziellen Angriffen. Ausgehend von der aktuellen Bedrohungslage im Bereich der IT-Sicherheit lernen Sie praktische Strategien und Techniken zur Abwehr häufig auftretender Angriffe kennen. In einer Laborumgebung demonstriert Referent Oliver Ripka typische Angriffstechniken und stellt nützliche Tools vor, mit denen Sie selbst Angriffe erkennen und abwehren können.

Anzeige

Am Ende des Workshops haben Sie ein Verständnis dafür entwickelt, wie Angreifer vorgehen und welche konkreten Schutzmaßnahmen Sie ergreifen können, um Ihre Systeme sicher zu machen. Auf Basis dieses Wissens lernen Sie, die Schwachstellen und Angriffsmöglichkeiten Ihrer eigenen IT-Infrastruktur zu bewerten und die Wirksamkeit der eingesetzten Sicherheitsmaßnahmen einzuschätzen.

Oliver Ripka ist ein erfahrener Sicherheitsberater und Trainer bei Söldner Consult. Als Experte für Netzwerksicherheit liegen seine fachlichen Schwerpunkte in den Bereichen offensive Sicherheit und Netzwerkanalyse.

Der nächste Sicherheitsworkshop findet am 26. und 27. Februar 2025 statt und richtet sich an IT-Administratoren, die ihren Blick für IT-Sicherheit schärfen wollen, sowie an Interessierte, die einen Überblick über die Funktionsweise von Cyberangriffen erhalten möchten.

Für vernetzte Geräte, die über eine Funkschnittstelle wie Bluetooth oder WLAN verfügen, gelten im Europäischen Wirtschaftsraum (EWR) bald strengere Vorgaben für IT-Sicherheit und Datenschutz. Ab 1. August 2025 muss ein CE-Kennzeichen deutlich machen, dass die betroffenen Smartphones, Wearables und sonstigen Funkanlagen auch grundlegende Anforderungen zum Schutz von Netzwerken, Privatsphäre und vor Betrug erfüllen. Ansonsten ist der Verkauf im EWR unzulässig.

Anzeige

Die Auflagen ergeben sich aus einem nachgeordneten Rechtsakt zur umstrittenen EU-Richtlinie über Funkanlagen (Radio Equipment Directive, RED). Eigentlich sollte die delegierte Verordnung von 2022, mit der die EU-Kommission Datenpannen bei drahtlos vernetzten Geräten den Kampf ansagt, schon seit 1. August 2024 gelten. Die EU-Kommission hat im Juli vorigen Jahres aber eine Zusatzverordnung beschlossen, die den 1. August 2025 als Termin vorsieht. Grund: die zuständigen Normungsinstitute CEN und Cenelec brauchten mehr Zeit.

Inzwischen ist der Standardisierungsprozess vollendet, sodass die harmonisierten Normen EN 18031-1/- 2/-3 Ende voriger Woche im EU-Amtsblatt veröffentlicht werden konnten. Damit ist klar, dass der spätere Starttermin gehalten werden kann und die Umsetzungsfrist läuft. Die Normen spezifizieren die verbindlichen Vorschriften aus und definieren Prüfkriterien, was Konformitätsnachweise vereinfachen soll. Das soll auch kleineren Unternehmen erleichtern, die Auflagen zu befolgen.

Inhaltlich behandeln die Normen unter anderem die Absicherung vertraulicher Kommunikation sowie das Vorhandensein eines Update-Mechanismus. Sie erfüllen aber lediglich mit Einschränkungen die Konformitätsvermutung. Restriktionen betreffen insbesondere das zwingende Setzen von Nutzer-Passwörtern sowie die Gewährleistung der Zugangssteuerung durch Eltern oder Erziehungsberechtigte für Spielzeuge. Außen vor bleiben ferner Geräte, die finanzielle Transaktionen ermöglichen.

Out of the box sind Windows-Netze mit Active Directory unsicher und leichte Beute für Angreifer jeglicher Art. Doch das kann man mit recht einfachen Maßnahmen deutlich verbessern: Ebenen und speziell gesicherte Admin-Arbeitsplätze haben sich bewährt. Doch der Teufel steckt im Detail. Wir zeigen nicht nur, warum jeder diese Konzepte umsetzen sollte, sondern auch, wie man das praktisch realisiert. Und für Mitglieder von heise security PRO gibt es obendrauf noch weitere Unterstützung bei der Umsetzung.

Anzeige

Unser erfahrener Referent Frank Ully liefert dazu ganz praktische Leitlinien, wie man etwa die Ebenen konkret einteilt, wie viele man davon abhängig von der Unternehmensgröße wirklich braucht und wie man das etwa mit Cloud-Ressourcen kombiniert. Auch für Probleme beim Einrichten und Einsetzen von Privileged Access Workstations (PAWs) etwa im Homeoffice präsentiert Ully pragmatische Lösungsansätze.

Dieses praxisorientierte heise security Webinar am 11. März um 10:00 richtet sich an alle, die ein Active Directory betreuen und für dessen Sicherheit verantwortlich sind. In dem etwa zweistündigen Live-Event ist viel Zeit für Ihre Fragen vorgesehen. Die Teilnahme kostet für Nicht-Mitglieder 175 Euro; noch bis zum 10. Februar kann man noch zum Frühbucherpreis von 155 Euro buchen. Weitere Informationen zum Inhalt und die Möglichkeit sich anzumelden, gibt es auf der Webseite zu:

Für Mitglieder von heise security PRO ist diesmal nicht nur die Teilnahme kostenlos. Darüber hinaus bieten wir im Nachgang Hilfe bei der Umsetzung der hier vermittelten Konzepte exklusiv für Mitglieder von heise security PRO. Der Referent beantwortet im Nachgang vier Wochen lang in unserem PRO-Forum Fragen zu Inhalten des Webinars, die sich eventuell erst aus der konkreten Umsetzung ergeben. Überdies können sich alle die PRO-Mitglieder auch untereinander im Active-Directory-Themenforum zu ihren Erfahrungen mit Tiering und PAWs austauschen. Mehr Informationen zu den weiteren Vorteilen von heise Security PRO gibt es hier:

Admins, die Backups mit Dells PowerProtect managen, sollten aus Sicherheitsgründen aktuelle Versionen von Data Domain Operating System (DD OS) installieren. Geschieht das nicht, können Angreifer Systeme vollständig kompromittieren.

Anzeige

In einer Warnmeldung führt Dell die verwundbaren Komponenten wie Bind, OpenSSL und Python auf. Nutzen Angreifer die Schwachstellen erfolgreich aus, können sie unter anderem DoS-Zustände herbeiführen (CVE-2024-5535 "kritisch") oder sogar Schadcode ausführen (CVE-2024-6345 "hoch").

Die Entwickler geben an, die Sicherheitsprobleme in den DD-OS-Ausgaben 7.10.1.50, 7.13.1.20 und 8.3.0.0 gelöst zu haben. Bislang gibt es keine Berichte zu Attacken. Admins sollten aber nicht zu lange zögern.

Apple warnt vor einer potenziell schwerwiegenden Lücke in seiner Digital Audio Workstation GarageBand. Die für macOS, iOS und iPadOS kostenlose Musikanwendung weist in der Mac-Variante einen Bug auf, der von Angreifern zum Ausführen beliebigen Codes auf dem Rechner verwendet werden könnte. Ob es bereits entsprechende Angriffe gab, ist allerdings nicht bekannt.

Anzeige

Die Lücke ist offenbar schon seit längerem in GarageBand enthalten, betroffen ist zumindest nicht nur die aktuelle macOS-Version Sequoia (10.5), sondern bereits die Vorversion Sonoma (14). Das aktuelle GarageBand für den Mac läuft offiziell ab Betriebssystemversion 14.4. Laut Apple führt ein Problem mit den sogenannten Bounds Checks dafür, dass ein böswillig verändertes Bild dazu verwendet werden kann, unerwünschte Programme auszuführen. Mit welchen Rechten dies erfolgt, teilt das Unternehmen nicht mit.

Die CVE-ID des Fehlers lautet 2024-44142, er wurde von Marc Schoenefeld entdeckt, der einst an der Uni Bamberg gearbeitet hatte. Wie genau ein mögliches Angriffsszenario ausgesehen hätte, blieb zunächst unklar. Es gibt jedoch an mehreren Stellen die Möglichkeit, Bilder in GarageBand einzubringen, etwa als Cover-Aufnahme für ein Musikprojekt. Der Schweregrad der Lücke wurde auf "Medium" nach CVSS v2 (Basisscore: 6,8) beziehungsweise "Hoch" nach CVSS v3 (Basisscore: 7,8) festgelegt.

Wer GarageBand auf seinem Mac betreibt, sollte das Update möglichst zeitnah einspielen. Die aktuelle Version, die die Fehlerbehebung enthält, trägt die Versionsnummer 10.4.12. Apple vertreibt GarageBand über den Mac App Store, in dem man auf Wunsch auch automatische Updates aktivieren kann. Nutzer sollten über das Apfel-Menü prüfen, ob sie bereits die aktuelle Version des DAW auf dem Rechner haben.

Setzen Angreifer erfolgreich an Sicherheitslücken im medizinischen Überwachungsmonitor Contec CMS8000 an, können sie unter anderem die Anzeige von Vitalwerten manipulieren. Nach jetzigem Kenntnisstand gibt es kein Sicherheitsupdate. Wann ein Patch kommen soll, ist bislang unklar.

Anzeige

Den Vital-Statusmonitor nutzen neben Krankenhäusern in den USA auch medizinische Einrichtungen in Europa. In Deutschland wird er auch genutzt.

Sicherheitsforscher der US-Behörde Cybersecurity & Infrastructure Security Agency (CISA) sind auf zwei Sicherheitslücken gestoßen (CVE-2025-0626 "hoch", CVE-2025-0683 "hoch"). Die erste Schwachstelle beschreibt eine Hintertür in Form einer hartcodierten IP-Adresse. Darüber können sich Angreifer unbefugt Zugriff verschaffen. Das zweite Sicherheitsproblem ist die unverschlüsselte Übertragung von Patientendaten an diese IP-Adresse. Diese Daten können Angreifer einsehen. Zurzeit gibt es den Forschern zufolge keine Hinweise auf bereits laufende Attacken.

Die CISA führt in einem Bericht aus, dass Angreifer unter Umständen Schadcode ausführen und Gerätedaten manipulieren können. Das könnte etwa dazu führen, dass Vitalzeichen falsch angezeigt werden, sodass kritische gesundheitliche Zustände bei Patienten nicht oder falsch angezeigt werden.

Wohin die Reise mit den Gesundheitsdaten geht, scheint sich mit dem Start der "elektronischen Patientenakte für alle" immer mehr abzuzeichnen. Während Polizisten Zugang zu den Daten zur Strafverfolgung wünschen, spricht sich Friedrich Merz (CDU) in einer Wahlkampfrede über einen finanziellen Vorteil für diejenigen aus, die ihre Gesundheitsdaten spenden. Zwar steht dieser Punkt nicht im Wahlprogramm, dennoch spielt er mit diesem Gedanken und lässt potenzielle Wähler daran teilhaben.

Anzeige

Wer laut Merz all seine Gesundheitsdaten auf der elektronischen Gesundheitskarte speichert, "bekommt 10 Prozent weniger Krankenversicherungsbeiträge als derjenige, der Angst hat und sagt, ich will das nicht". Kritik folgte daraufhin unter anderem von der Sicherheitsforscherin Bianca Kastl auf Mastodon. "Letztendlich führen finanzielle Anreize für das Speichern von Gesundheitsdaten nur dazu, dass sich Ungleichheiten im Gesundheitswesen verstärken: Diejenigen Menschen ohne in der Gesellschaft diskriminierte Diagnosen können sparen, diejenigen, die nicht das Privileg haben, ihre Gesundheitsdaten allen digital anvertrauen zu können, werden finanziell zusätzlich belangt. Es entsteht ein Teufelskreis", erklärt Kastl. Wer stigmatisierende Krankheiten hat und diese nicht speichern möchte, muss zusätzlich zahlen.

Laut Merz würde viel mehr über Datenschutz als über Datennutzung geredet, die Bevölkerung sei in diesem Punkt aber schon viel weiter als die Politik. Dabei erwähnte der Kanzlerkandidat der CDU/CSU ein Treffen mit Microsoft-Chef Satya Nadella auf dem vergangenen Weltwirtschaftsforum. Nadella sagte demnach gegenüber Merz, dass der deutsche Mittelstand in seinen Unternehmen einen großen Schatz hätte. Er verfüge demnach "über Daten in der Produktion, im Vertrieb, im Einkauf, im Personalmanagement, in den ganzen Prozessen". Würden diese im Zusammenspiel mit KI richtig genutzt, könnten Produktivitätszuwächse erzielt werden. Offen lässt Merz jedoch, welche Parallelen es in Bezug auf die Gesundheitsdatennutzung gibt. Unbestreitbar ist jedoch, dass Microsoft auch hierzulande mit Programmen wie Dragon Ambient Experience wirbt und mit seiner Software zunehmend in Krankenhäusern zum Einsatz kommt.

Bereits in der Vergangenheit sprach unter anderem der CDU-Abgeordnete Erwin Rüddel davon, dass Versicherte ihre Daten an die Krankenkassen verkaufen können, wie der Tagesspiegel Background berichtet hatte. Schließlich seien diese Daten besonders wertvoll. Auch Gesundheitsminister Karl Lauterbach hatte in der Vergangenheit in Bezug auf die elektronische Patientenakte und das Forschungsdatenzentrum Gesundheit immer wieder von einem ungehobenen und wachsenden Datenschatz gesprochen, an dem auch Microsoft Interesse habe.

Der erst im Oktober 2024 von Microsoft auch in Deutschland verfügbar gemachte VPN-Dienst in Microsoft Defender for Individuals – Teil von Microsoft 365 Family oder Personal – ist Ende dieses Monats bereits wieder Geschichte. Der Dienst hatte somit nicht einmal ein halbes Jahr Bestand.

Anzeige

Microsoft hat nun einen Support-Artikel veröffentlicht, in dem das Unternehmen diesen Schritt ankündigt. Auf die dort selbst gestellte Frage, warum Microsoft die Privatsphären-Schutzfunktion aus der Defender-App herauswirft, schreibt das Unternehmen: "Unser Ziel ist sicherzustellen, dass du und deine Familie online sicherer seid. Wir prüfen regelmäßig die Nutzung und Effektivität unserer Funktionen. Als solche entfernen wir die Privatsphären-Schutzfunktion und werden in neue Bereiche investieren, die besser zu den Kundenbedürfnissen passen".

Damit bleibt jedoch unklar, wieso die Funktion tatsächlich wieder gehen muss: Ob sie wie in der Marketing-Aussage angedeutet zu wenig genutzt wurde, einfach zu teuer ist oder damit etwa Missbrauch betrieben wurde, lässt sich nicht einmal erahnen.

Andere Funktionen seien jedoch nicht betroffen, der Daten- und Geräteschutz bleibe erhalten, ebenso Bedrohungsalarme. Weiterhin lasse sich überwachen, ob es zu Identitätsdiebstahl gekommen ist oder – auf die USA begrenzt – eine "Kreditüberwachung" einrichten.

Am 30. September und 1. Oktober findet die heise devSec 2025 statt. Die neunte Auflage der Konferenz zu sicherer Softwareentwicklung wandert dieses Jahr nach Regensburg. Weiterhin lautet das Motto "Sichere Software beginnt vor der ersten Zeile Code".

Anzeige

Die heise devSec 2025 richtet sich an IT-Profis, die das Thema Security im Blick haben und sich den damit verbundenen Herausforderungen stellen müssen. Vor allem Softwareentwicklerinnen und -architekten, Projektleiter und Teamleiterinnen sowie Sicherheits- und Qualitätsbeauftragte nehmen an der heise devSec teil.

Im Call for Proposals suchen die Veranstalter iX, heise Security und dpunkt.verlag bis zum 11. April Vorträge und Workshops unter anderem zu folgenden Themen:

Erfahrungsberichte sind besonders gern gesehen. Das Programm wird Mitte Mai veröffentlicht. Bis dahin können Frühentschlossene Tickets für die Herbstkonferenz zum besonders günstigen Blind-Bird-Tarif von 1049 Euro kaufen.

Google zufolge nutzen mehrere staatlich geförderte Hackergruppen den KI-gestützten Assistenten Gemini, um ihre Produktivität zu steigern und mögliche Angriffsziele zu erforschen. Wie Bleeping Computer berichtet, hat Googles Threat Intelligence Group (GTIG) festgestellt, dass Hacker Gemini hauptsächlich einsetzen, um effizienter zu arbeiten, und nicht um neuartige KI-gestützte Cyberangriffe zu entwickeln, die traditionelle Abwehrmechanismen umgehen können.

Anzeige

Besonders aktiv waren laut Google APT-Gruppen aus dem Iran und China. Zu den häufigsten Anwendungsfällen zählten:

Die Hacker setzten Gemini in verschiedenen Phasen des Angriffszyklus ein, wobei sich die Schwerpunkte je nach Herkunftsland unterschieden:

Google beobachtete auch Versuche, öffentliche Jailbreaks gegen Gemini einzusetzen oder Prompts umzuformulieren, um die Sicherheitsmaßnahmen der Plattform zu umgehen. Diese Versuche blieben bisher erfolglos.

An jedem ersten Februar eines Jahres wiederholt sich der "Ändere dein Passwort-Tag". IT-Experten sind sich einig, dass er ein sogar kontraproduktives Verhalten empfiehlt: Häufige (erzwungene) Passwort-Wechsel sorgen nicht für sicherere Passwörter, da die meisten Betroffenen sich ein einfach merkbares (und somit knackbares) Schema ausdenken. Sie nutzen oftmals mit einem simplen Muster abgeleitete Passwörter, regelmäßig etwa mit Jahreszahlen verbunden. Der Chaos Computer Club fordert deshalb sogar die Abschaffung dieses Gedenktags.

Anzeige

Passwörter sollte man daher besser dann wechseln, wenn sie zu schwach sind, sie vermutlich geknackt wurden – oder Bestandteil eines der häufigen Datenlecks sind. Hier ist schnell der praktische Tipp zur Hand: Nutzen Sie einen Passwort-Manager! Der benötigt nur noch ein Master-Passwort oder gar ein biometrisches Kennzeichen zum Entsperren und nimmt dann beliebig komplexe Passwörter für Zugänge auf. Oftmals sogar über das Netz auf mehrere Endgeräte synchronisierbar. Das steigert den Komfort bereits enorm. Jedes Konto bekommt ein eigenes, schwer zu knackendes Passwort, das sich Nutzerinnen und Nutzer gar nicht merken müssen, da der Passwort-Manager es auf Desktop-PC, Tablet und Smartphone gleichermaßen bereitstellt.

Die Passwort-Manager bringen in der Regel zudem integrierte Passwortgeneratoren mit. Sie helfen dabei, solche schwer zu brechenden Passwörter automatisch zu erstellen. Die Komplexität lässt meist beliebig vorgeben.

KI-basierte Werkzeuge können helfen, Schwachstellen schneller zu erkennen und gezielt zu analysieren. Dadurch können Sicherheitsprozesse effizienter gestaltet und die Zeitvorteile gegenüber potenziellen Angreifern maximiert werden. Doch wann ist der Einsatz von KI-Werkzeugen sinnvoll und wann sollten herkömmliche Methoden bevorzugt werden?

Anzeige

Der iX-Workshop Künstliche Intelligenz für effiziente IT-Sicherheitsstrategien stellt verschiedene KI-Methoden und -Werkzeuge vor und zeigt, wann und wie sie sinnvoll eingesetzt werden können.

In unserem iX-Workshop erhalten Sie einen umfassenden Überblick über technische Sicherheitsaudits und Abwehrmaßnahmen sowie verschiedene KI-Tools. Sie haben die Möglichkeit, diese in praktischen Übungen auszuprobieren und deren Vor- und Nachteile kennen zu lernen. Dabei wird zwischen sinnvollen und weniger sinnvollen Einsatzmöglichkeiten unterschieden. Etwa 25% des Workshops sind der praktischen Anwendung des Gelernten gewidmet.

Der Workshop stellt konkrete Anwendungsszenarien für die vorgestellten Werkzeuge und Methoden vor. Sie lernen, wie Sicherheitsprozesse mit Hilfe von Künstlicher Intelligenz effizienter gestaltet werden können. Sie erfahren, wie Sie Schwachstellenscans und Penetrationstests schneller und besser auswerten können und wie Blue Teams von der automatisierten Bedrohungserkennung und der frühzeitigen Reaktion auf Angriffe profitieren.

Daniel Stenberg, Erfinder und Hauptentwickler des Open Source-Kommandozeilentools cURL, hat in einem Blogeintrag einmal mehr das CVE-Ökosystem (Common Vulnerabilities and Exposures) kritisiert. Im Fokus seiner aktuellen Kritik: das mit CVE eng verknüpfte Schwachstellenbewertungssystem CVSS (Common Vulnerability Scoring System).

Anzeige

Nach Stenbergs Meinung birgt der Prozess des CVSS-Scorings schon per se ein hohes Risiko für Fehleinschätzungen. Diese Gefahr werde allerdings noch dadurch verschärft, dass speziell autorisierte Instanzen wie die US-Behörde CISA beliebige bestehende CVEs um eigene Punkteberechnungen ergänzen können.

In der Vergangenheit war die nachträgliche "Anreicherung" von CVE-Einträgen um fehlende Zusatzinformationen wie CVSS-Scores Aufgabe der NVD (National Vulnerabbility Database). Nach einem massiven Rückstau unbearbeiteter CVEs übernimmt dies seit letztem Jahr jedoch primär die US-Cybersicherheitsbehörde CISA. In einem GitHub-Repository zum sogenannten "Vulnrichment-Projekt" vervollständigt sie systematisch sämtliche liegengebliebenen, aber auch neuen Einträge.

Stenberg protestierte bereits im September vergangenen Jahres öffentlich gegen einen seiner Ansicht nach falschen CVE-Eintrag. Auch grundsätzliche CVSS-Kritik äußerte er schon in früheren Blogeinträgen.

Kriminelle missbrauchen Sicherheitslücken in der Fernwartungssoftware SimpleHelp RMM, um in PCs und Netzwerke einzudringen. IT-Sicherheitsforscher haben eine Kampagne beobachtet, bei der Geräte initial durch diese Schwachstellen angegriffen wurden.

Anzeige

In einem Blog-Beitrag schreiben die Mitarbeiter von Arctic Wolf, dass knapp eine Woche vor der Entdeckung dieser Kampagne die IT-Forscher von Horizon3.ai drei Sicherheitslücken in SimpleHelp RMM aufgespürt und Informationen dazu veröffentlicht haben. Es handelt sich um drei Sicherheitslücken. Die gravierendste ermöglicht die Rechteausweitung von niedrig privilegierten Techniker-Zugang zum Server-Admin (CVE-2024-57726, CVSS 9.9, Risiko "kritisch").

Zudem können Angreifer ohne vorherige Anmeldung beliebige Dateien vom SimpleHelp-Server herunterladen, was Horizon3.ai als die schlimmste Sicherheitslücke aus dem Lücken-Trio einordnet, die CVSS-Einstufung spiegelt das aber nicht wider (CVE-2024-57727, CVSS 7.5, hoch). Die dritte Schwachstelle ermöglicht das Hochladen von Dateien an beliebige Stellen auf dem SimpleHelp-Server, sofern Admin-Zugriff (etwa als SimpleHelpAdmin oder Techniker mit Admin-Rechten) möglich ist. Unter Linux können bösartige Akteure durch das Hochladen einer crontab-Datei aus der Ferne Befehle ausführen (CVE-2024-57728, CVSS 7.2, hoch).

Die SimpleHelp-RMM-Versionen 5.3.9, 5.4.10 und 5.5.8 stopfen diese Sicherheitslücken. IT-Verantwortliche sollten so rasch wie möglich aktualisieren, sofern das noch nicht geschehen ist.

Dell NetWorker, NetWorker Virtual Edition und NetWorker Management Console sind verwundbar. Attacken auf die Schwachstellen sind vorstellbar. Admins sollten die Sicherheitspatches daher zeitnah installieren.

Anzeige

In einer Warnmeldung von Dell schreiben die Entwickler des Unternehmens, dass vor allem verschiedene Drittanbieter-Komponenten wie OpenSSL verwundbar sind. Eine Lücke (CVE-2025-21107, Risiko "hoch") betrifft die Backupsoftware aber auch direkt. An dieser Stelle können Angreifer mit lokalem Zugriff und mit niedrigen Nutzerrechten ansetzen, um Schadcode auszuführen. Wie so eine Attacke ablaufen könnte, führen die Autoren der Mitteilung aber nicht aus.

Dell gibt an, die Sicherheitsprobleme in den Ausgaben 19.11.0.03 und 19.12 gelöst zu haben. Das Sicherheitsupdate zum Schließen einer weiteren Schwachstelle (CVE-2024-7348, Risiko "hoch") steht jedoch noch aus. Dell will es im Februar zu einem nicht näher eingegrenzten Datum verfügbar machen.

Bislang gibt es keine Berichte zu bereits laufenden Attacken in freier Wildbahn. Admins sollten sich aber nicht zu lange in Sicherheit wägen und ihre Systeme zügig absichern.

Wenn Teams für den Zugriff von externen Kontakten konfiguriert ist, können sich unter Umständen unerwünschte Gäste in vertrauliche Firmen-Meetings einklinken. Das will Microsoft nun mit einem neuen Schutzmechanismus effektiver verhindern.

Anzeige

Das geht aus einem Beitrag im Microsoft 365 Admin-Message-Center hervor, der aber nur für Teams-Admins abrufbar ist. Möchte ein externer Kontakt an einem Meeting teilnehmen, soll Microsofts Identity-Protection-Ansatz anspringen. Der soll Phishingversuche erkennen und Warnmeldungen einblenden. Dabei warnen Textfenster dann unter anderem davor, dass unbekannte externe Kontakte eine Gefahr sein können und etwa auf geschäftliche Interna aus sind.

Ab Mitte Februar soll Teams über eine automatisch aktivierte neue Schutzfunktion effektiver vor Phishingversuchen warnen.

(Bild: Microsoft)

In Zoho ManageEngine Applications Manager gefährdet eine Sicherheitslücke die betroffenen Installationen. Bösartige Akteure können dadurch ihre Rechte ausweiten und weiteren Schaden anrichten.

Anzeige

In einer Sicherheitsmitteilung erklärt Zohocorp, dass eine "vertikale Rechteausweitungsschwachstelle" in ManageEngine Applications Manager vorliegt. Ein delegierter Admin kann ohne Autorisierung Admin-Zugriff durch Veränderung der User-Group-Parameter erlangen. Dies erfolge durch die API, die Nutzerprofile aktualisieren kann (CVE-2024-41140, CVSS 8.1, Risiko "hoch").

Der Sicherheitsmitteilung zufolge stellt Zohocorp bereits seit Anfang Januar aktualisierte Software bereit, die dieses Sicherheitsleck abdichtet. Die Veröffentlichung der Informationen zum CVE-Eintrag CVE-2024-41140 erfolgte jedoch erst Mitte dieser Woche. Betroffen ist demnach ManageEngine Applications Manager bis einschließlich der Version v173900. Die Schwachstelle haben die Entwickler hingegen in den Versionen 170008 bis 170099, 173303 bis 173399 sowie 174000 und neueren Fassungen ausgebessert.

Auf der Zohocorp-Webseite stehen die Service-Packs zum Abdichten der Lücke zum Herunterladen bereit. Da die Schwachstelle vom Hersteller als hochriskant eingestuft wird, sollten IT-Verantwortliche mit der Aktualisierung nicht warten, sondern sie zeitnah durchführen. Cyberkriminelle greifen Schwachstellen in Zoho ManageEngine-Software öfter an. Etwa nach Veröffentlichung eines Proof-of-Concept-Exploits durch ein IT-Sicherheitsunternehmen erfolgten rasch Attacken auf Schwachstelle CVE-2022-47966 in 24 Produkten aus der Palette.

Broadcom warnt vor fünf Sicherheitslücken in VMware Aria Operations for Logs und VMware Aria Operations sowie VMware Cloud Foundation. Angreifer können unbefugt auf Informationen zugreifen und so etwa Zugangsdaten ausspähen, und damit weiteren Schaden anrichten.

Anzeige

In der Sicherheitsmitteilung schreiben die VMware-Entwickler, dass bösartige Akteure mit Nur-Lesen-Admin-Rechten die Zugangsdaten von VMware-Produkten auslesen können, die in VMware Aria Operations for Logs hinterlegt sind (CVE-2025-22218, CVSS 8.5, Risiko "hoch"). Außerdem können Angreifer mit nicht-administrativen Berechtigungen ein Informationsleck missbrauchen, um Zugangsdaten für ein Plug-in zu erlangen, sofern sie eine gültige Dienst-Zugangs-ID kennen (CVE-2025-22222, CVSS 7.7, "hoch").

Weiterhin meldet Broadcom eine Stored Cross-Site-Scripting-Schwachstelle in VMware Operations for Logs, durch die Angreifer bösartige Skripte einschleusen können, die beliebige Operationen als Admin ausführen kann (CVE-2025-22219, CVSS 6.8, mittel). Eine ähnlich gelagerte Lücke ermöglicht Angreifern mit Admin-Rechten, ein Skript in Browser von Opfern einzuschmuggeln, was ausgeführt wird, wenn diese eine Lösch-Operation in der Agent-Konfiguration anstoßen (CVE-2025-22221, CVSS 5.2, mittel). Schließlich können aufgrund defekter Rechteprüfungen nicht-administrative Nutzerkonten mit Netzwerkzugriff auf die Aria Operations for Logs-API einige Aufgaben im Kontext eines Admin-Nutzers ausführen (CVE-2025-22220, CVSS 4.3, mittel).

Die Sicherheitslücken schließen VMware Aria for Operations und VMware Aria for Operations for Logs mit der Version 8.18.3. Für VMware Cloud Foundation 4.x und 5.x wurden bereits am Donnerstag Updates bereitgestellt, die mit dem VMware Aria Suite Lifecycle Manager ausgerollt werden können.