Comretix Blog

Teamviewer warnt vor einer Sicherheitslücke in der Fernwartungssoftware für Windows. Angreifer können ihre Rechte dadurch ausweiten. Aktualisierte Pakete stehen bereit, die das Sicherheitsleck stopfen.

Anzeige

In der Sicherheitsmitteilung schreiben die Entwickler von Teamviewer, dass aufgrund einer unzureichenden Filterung von Trennungen übergebener Argumente in "TeamViewer_service.exe" Angreifer mit geringen Rechten am Windows-System ihre Befugnisse durch eine Argumente-Injektion ausweiten können (CVE-2025-0065, CVSS 7.8, Risiko "hoch").

Zum Missbrauchen der Lücke müssen Angreifer Zugriff auf das Windows-System haben – was für eine Rechteausweitung jedoch ohnehin gegeben ist. Teamviewer hat bislang keine Hinweise, dass die Schwachstelle in freier Wildbahn ausgenutzt wurde oder wird.

Die Fehler finden sich in Teamviewer Remote und Teamviewer Tensor. Das Unternehmen bietet zahlreiche aktualisierte Pakete an, die die Sicherheitslücke schließen. Teamviewer Full Client (Windows) 11.0.259318, 12.0.259319, 13.2.36226, 14.7.48799 und 15.62 sowie Teamviewer Host (Windows) 11.0.259318, 12.0.259319, 13.2.36226, 14.7.48799 und 15.62 stehen auf der Download-Seite von Teamviewer zum Herunterladen bereit.

Penetrationstests (Pentests) sind effektive Maßnahmen, um Schwachstellen und Lücken in der eigenen IT-Infrastruktur aufzudecken. Dabei werden IT-Systeme und Netzwerke mit Methoden und Techniken, die auch von echten Angreifern oder Hackern eingesetzt werden, auf ihre Angriffssicherheit überprüft und mögliche Schwachstellen identifiziert.

Anzeige

In der Regel entscheiden Unternehmen, ob sie Penetrationstests selbst durchführen oder einen externen Experten damit beauftragen. Grundlage für die Durchführung ist eine Ausschreibung, in der Umfang und Schwerpunkte des Tests definiert werden. Die Parameter richten sich nach der individuellen Infrastruktur des Unternehmens, den spezifischen Anforderungen und dem Bedarf.

Im iX-Workshop Penetrationstests: Methodik verstehen, richtig ausschreiben und Ergebnisse auswerten erweitern Sie Ihr Verständnis für Penetrationstests und lernen, worauf es ankommt, wenn Sie Ihre IT-Systeme und Anwendungen professionell durchleuchten lassen wollen.

Die nächste Schulung findet vom 11. bis 12. März 2025 statt und vermittelt an zwei Vormittagen Methodenkompetenz für Testbereiche wie Port- und Vulnerability-Scans, Webanwendungen und Endgeräte. Sie hilft Ihnen, klassische Fallstricke zu erkennen - nicht nur bei der eigentlichen Durchführung von Penetrationstests, sondern auch bei der Analyse und Bewertung der gewonnenen Ergebnisse.

Weil bestimmte Eingaben nicht ausreichend überprüft werden, können Angreifer Schadcode auf den D-Link-Router DSL-3788 schieben und ausführen. In der Regel gelten Geräte im Anschluss als vollständig kompromittiert. Der Hersteller hat nun ein Sicherheitsupdate veröffentlicht und rät zur dringenden Installation.

Anzeige

Das geht aus einem offiziellen Supportbeitrag hervor. Die Schwachstelle finde sich in der COMM_MakeCustomMsg-Funktion der libssap-Bibliothek. So können Angreifer präparierte Anfragen an das webproc-CGI schicken. Weil die Länge der Eingabe nicht geprüft wird, führt das zu einem Speicherfehler, was den Weg für Schadcode ebnet.

Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Eine CVE-Nummer wurde offensichtlich bisher nicht vergeben. Demzufolge steht auch noch eine Einstufung des Bedrohungsgrads aus. Das CERT Bund stuft die Gefahr als "kritisch" ein.

Auf die Sicherheitslücke ist ein Sicherheitsforscher mit dem Pseudonym Sparrrgh gestoßen. Details dazu führt er in einem Blogbeitrag aus. D-Link gibt an, die Lücke in der Version v1.01R1B037 geschlossen zu haben. Ob es bereits Attacken gibt, ist derzeit nicht bekannt. Der Hersteller empfiehlt ein zügiges Update.

Künstliche Intelligenz dringt in alle Bereiche der Softwareentwicklung vor. Die Security muss mit den Neuerungen Schritt halten, denn mit den erweiterten Möglichkeiten sind auch neue Gefahren verbunden.

Anzeige

Am 8. April widmet sich der Special Day der heise devSec zu KI und Security den Angriffsvektoren auf KI-Anwendungen, -Werkzeuge und -Infrastruktur. Die Vorträge zeigen praxisnah, wie Softwareentwickler und -architektinnen sich davor schützen können.

Das Programm der Online-Konferenz bietet folgende Vorträge:

Tickets für die Online-Konferenz sind bis zum 17. März zum Frühbucherpreis von 249 Euro (zzgl. MwSt.) verfügbar. Teams ab drei Personen erhalten im Ticketshop automatisch einen Gruppenrabatt.

IT-Sicherheitsforscher haben Backdoors von Juniper-Routern untersucht, mit denen die Geräte bei einer Angriffswelle von den Tätern ausgestattet wurden. Eine Besonderheit ist, dass sie zunächst passiv auf sogenannte Magic Packets lauschen, bevor sie aktiv werden und Zugriff gewähren.

Anzeige

In ihrer tiefschürfenden Analyse schreiben die Mitarbeiter des Black-Lotus-Teams von Lumen, dass sie die Kampagne, bei der die Backdoor verteilt wurde, "J-magic" getauft haben. Erste Samples der Backdoor fanden sich demnach bereits im September 2023 im Malware-Fundus von Virustotal. Wie die Angreifer initial in betroffene Juniper-Router eingebrochen sind, konnten die IT-Forscher nicht rekonstruieren.

Nach dem Einbruch in die Router haben die Täter dann die Backdoor installiert. Es handelt sich demnach um eine Variante von cd00r. Das ist eine Open-Source-Backdoor, die auf Packetstorm im Jahr 2000 als Proof-of-Concept veröffentlicht wurde.

Die untersuchte Variante kann passiv auf fünf vordefinierte Parameter lauschen, oder auch Magic Packets, bevor sie sich aktiviert. Sofern ein solches Magic Packet erkannt wurde, sende der Backdoor-Agent eine zweite Challenge zurück. Sofern diese bestanden wurde, öffnet J-magic eine Reverse-Shell auf dem lokalen Dateisystem und erlaubt den Strippenziehern, das kompromittierte Gerät zu kontrollieren, Daten zu stehlen oder bösartige Software zu verteilen.

Etwa 55 Prozent der von Ransomware-Angriffen betroffenen Unternehmen in Deutschland haben zeitweise ihren Betrieb unterbrechen müssen. Gleichzeitig wenden deutsche Firmen im Vergleich zu anderen Ländern mehr Zeit und Personal auf, um Ransomware einzudämmen. Das geht aus einer von Illumio beauftragten Studie des Ponemon Institute hervor. Im Schnitt verlangten Angreifer 1,4 Millionen US-Dollar für die Freigabe der Daten deutscher Betriebe. Nur jede zehnte Firma konnte alle Daten wiederherstellen.

Anzeige

In Deutschland berichtete mit 45 Prozent knapp die Hälfte der befragten Unternehmen von Umsatzeinbußen. Jeweils mehr als ein Drittel der deutschen Firmen verlor infolge eines Ransomware-Angriffs Kunden und musste Stellen abbauen. In 34 Prozent der Fälle schadete ein Angriff dem Ansehen der Firma. Der Reputationsschaden war für Betriebe der größte Kostenfaktor einer Ransomware-Attacke und teurer als Anwaltskosten und Strafzahlungen oder Umsatzeinbußen.

Der Studie zufolge seien in Deutschland bereits 89 Prozent der Unternehmen von einem Ransomware-Angriff betroffen gewesen. Aus dem Dokument geht allerdings nicht eindeutig hervor, ob es sich um erfolgreiche Angriffe handelt oder auch gescheiterte Versuche gezählt werden. Eine Untersuchung des Digitalverbandes Bitkom beziffert den Anteil der Unternehmen, die durch erpresserische Software einen Schaden erlitten, mit 31 Prozent.

Ransomware-Angriffe beeinträchtigten knapp ein Viertel der kritischen Systeme, die durchschnittlich für 12 Stunden ausfielen. Um die größte Sicherheitsverletzung durch erpresserische Software einzudämmen und zu beheben, benötigten deutsche Unternehmen im Durchschnitt 18,3 Mitarbeiter, die jeweils 149 Stunden arbeiteten. Damit liegt die Bundesrepublik über dem weltweiten Durchschnitt. Gleichzeitig erachten fast zwei Drittel der deutschen Betriebe ihre Sicherheitsvorkehrungen als effektiv.

Anfang Januar hat Sonicwall Updates zum Schließen einer Zero-Day-Schwachstelle in Sonicwalls SSL-VPN und SSH-Management veröffentlicht. Der Hersteller warnte vor möglichem Missbrauch durch Angreifer. Stand Mitte vergangener Woche sind jedoch noch mehr als 5000 Sonicwall-Appliances verwundbar.

Anzeige

Die IT-Sicherheitsforscher von Bishop Fox haben die Sicherheitslücke untersucht und konnten sie erfolgreich mit Exploit ausnutzen, um damit etwa Zugänge zu übernehmen. "Unsere aktuelle Untersuchung deutet darauf hin, dass mehr als 5000 verwundbare Sonicwall-Geräte im Internet erreichbar sind", schreiben sie in ihrer Analyse. "Obwohl signifikante Reverse-Engineering-Anstrengungen nötig waren, die Schwachstelle zu finden und auszunutzen, war der Exploit selbst recht trivial", ergänzen sie.

Die IT-Forscher erörtern zudem ihren Zeitplan. Im Rahmen einer Responsible Disclosure wollen sie weitergehende Details 90 Tage nach der Benachrichtigung des Herstellers veröffentlichen. Am 5. November 2024 war das der Fall, Sonicwall hat Updates am 7. Januar 2025 herausgegeben. Damit IT-Verantwortliche einen vollen Monat Zeit für die Aktualisierung haben, will das Unternehmen die Details des Exploit-Codes am 10. Februar veröffentlichen.

Da noch tausende Sonicwall-Appliances im Netz erreichbar sind, die offenbar für die Sicherheitslücke anfällig sind, sollten die Admins jetzt zügig die Aktualisierung nachholen. Möglicherweise ist die Information am Jahresanfang untergegangen, weshalb so viele Sonicwall-Firewalls noch ungepatcht blieben.

Cyberattacken gehören leider zum Admin-Alltag, doch dagegen kann man einiges unternehmen. Und selbst wenn Angreifer bereits Firmeninterna kopieren, kann man immer noch etwas retten. Wie man IT-Angriffen vorbeugt und wie man sich nach einer bereits erfolgten Attacke am effektivsten verhält, erläutern die Referenten auf der secIT 2025.

Anzeige

Der Großteil des Programms wurde von den Redaktionen von c’t, heise security und iX handverlesen. In diesen redaktionellen Vorträgen gibt es keine Werbung, sondern ausschließlich hilfreiche Fakten, die Admins direkt für mehr Sicherheit in Unternehmen umsetzen können.

Die secIT findet vom 18. bis 20 März 2025 im Hannover Congress Centrum (HCC) statt. Bis zum 15. Februar gibt es im Ticketshop vergünstigte Eintrittskarten. Ein Tagesticket kostet bis dahin 79 statt 99 Euro und für ein Dauerticket werden 119 statt 139 Euro fällig.

In seiner Abschlusskeynote führt Volker Kozok aus, welche Rolle KI im aktuellen Cybercrimegeschehen spielt.

Die Generalstaatsanwaltschaft Karlsruhe hat Anklage gegen einen Cyberkriminellen erhoben. Der Mann soll Cyberattacken auf zahlreiche deutsche Unternehmen und Institutionen verübt und Lösegeld erpresst haben. Das berichtete Spiegel Online am Montag.

Anzeige

Der 45-jährige Tatverdächtige war nach mehrjährigen internationalen Ermittlungen des Landeskriminalamts Baden-Württemberg im Juni vergangenen Jahres in Zusammenarbeit mit den slowakischen Behörden in Bratislava verhaftet und im September nach Deutschland ausgeliefert worden. Nach Angaben der Strafverfolger steht der Mann im Verdacht, im Jahr 2019 die Daten von 22 deutschen Firmen und Einrichtungen mit Schadsoftware verschlüsselt und Lösegeld für die Freigabe gefordert zu haben. Zu den Betroffenen der Cyberangriffe gehörten u. a. das Württembergische Staatstheater Stuttgart sowie mehrere Hersteller von medizinischen Produkten. Durch die Datenverschlüsselung und den Systemausfall entstand ein geschätzter wirtschaftlicher Schaden von über 2,4 Millionen Euro.

Die Staatsanwaltschaft wirft dem mutmaßlichen Cyberkriminellen unter anderem banden- und gewerbsmäßigen Computerbetrug vor. Der aus der Ukraine stammende Mann gehört nach Angaben der Ermittler der weltweit agierenden Cybercrime-Gruppe "GandCrab" an, die mit Verschlüsselungsangriffen Geld von ihren Opfern erpresst hat. Der weltweit entstandene wirtschaftliche Schaden durch die Gruppierung wird auf mehr als 100 Millionen Euro geschätzt.

Die Ransomware GandCrab befiel seit 2018 unzählige Windowsrechner weltweit. Die Malware lauerte unter anderem hinter Fake-Software-Cracks und in gefälschten Bewerbungsmails. Zudem versuchte der Erpressungstrojaner, sich durch verschiedene Sicherheitslücken zu fressen. Anfang Juni 2019 gaben die Entwickler der Schadsoftware deren Ende bekannt. Nach eigenen verdienten sie pro Woche 2,5 Millionen US-Dollar. Abgelöst wurde GandCrab mutmaßlich von der Malware "Revil".

Apple hat iOS 18.3 am Montagabend zum Download freigegeben – ebenso wie iPadOS 18.3 und macOS 15.3. Die jüngsten Betriebssystemversionen lassen sich wie üblich über die integrierte Software-Aktualisierung auf den Geräten laden. Nachdem iOS 18.1 und 18.2 eine größere Zahl an Neuerungen nachlieferten, hat das dritte größere Update für iOS 18 nur wenig Neues zu bieten. Für iPhone- und iPad-Nutzer in der EU gibt es nur ein weiteres Hintergrundbild zum Black History Month. Außerdem kehrt eine Funktion zurück: Drückt man die Plustaste erneut, wiederholt Apples Rechner-App die letzte Rechenoperation.

Anzeige

Zugleich macht Apple mit iOS 18.3, iPadOS 18.3 und macOS 15.3 Apple Intelligence zu einem standardmäßig aktivierten Teil des Betriebssystems. Die KI-Modelle werden also automatisch geladen und das ganze KI-System ist jetzt Opt-out statt Opt-in, wie Apple jüngst ankündigte. Nutzer, die die Apple-KI gar nicht verwenden wollen, müssen Apple Intelligence also nachträglich wieder abschalten. Das KI-System ist in der EU bislang nur auf Macs verfügbar und auch nur, wenn das Betriebssystem auf Englisch verwendet wird. Auf iPhones und iPads lässt sich Apple Intelligence über Umwege aktivieren.

In der EU will Apple das System im April wohl mit iOS 18.4 ausliefern, möglicherweise dann auch mit dem bislang noch fehlenden Support für Deutsch.

Auf Geräten mit Apple Intelligence nehmen iOS 18.3 & Co außerdem eine wichtige Änderung bei der Zusammenfassung von Mitteilungen vor: Diese sind nach Beschwerden der BBC über verfälschte Headlines vorerst für die App-Kategorien "News" und "Entertainment" deaktiviert. Bei anderen Mitteilungen stellt Apple die KI-Zusammenfassung jetzt kursiv dar.

Dem Virenschutz Gdata Security Client und der Verwaltungssoftware Gdata Management Server haben Angreifer aufgrund von Sicherheitslücken Schadcode unterschieben können. Inzwischen stehen Updates bereit, die die sicherheitsrelevanten Fehler korrigieren.

Anzeige

In einem Github-Projekt wurden die Schwachstellen von dem User mit dem Handle nullby73 gemeldet. Im Gdata Management Server findet sich eine Sicherheitslücke im Gdmms-Dienst. Dieser starte einen Prozess, der nach einer ZIP-Datei in einem von Nutzern beschreibbaren Verzeichnis sucht. Beim Entpacken des Archivs findet keine Prüfung auf relative Pfade innerhalb des Archivs statt. Das führe zu einer sogenannten "Zip Slip"-Lücke, die das Schreiben oder Überschreiben beliebiger Dateien mit SYSTEM-Rechten erlaubt. Das mündet in einer Rechteausweitung (CVE-2025-0542, CVSS 7.8, Risiko "hoch").

In Gdatas Security Client klafft eine Sicherheitslücke, da der SetupSVC-Dienst, der in unregelmäßigen Intervallen gestartet wird, eine ausführbare Datei aus einem von Nutzern beschreibbaren Verzeichnis starten will. Zudem versucht die Software, zwei nicht existierende DLLs zu laden – abermals aus einem Benutzer-beschreibbaren Ordner, was in einer DLL-Injection-Schwachstelle endet. Durch das Platzieren einer bösartigen Datei anstelle einer der beiden Bibliotheken lässt sich beliebiger Code mit SYSTEM-Rechten ausführen, sobald der SetupSVC-Dienst startet (CVE-2025-0543, CVSS 7.8, hoch).

Die Sicherheitslücken hat nullby73 bereits Anfang April 2024 an Gdata gemeldet. Seit Anfang Dezember stehen beide betroffenen Softwarepakete in der fehlerkorrigierten Version 15.8.333 zur Verfügung; am Wochenende erfolgte jetzt die koordinierte Veröffentlichung der Lücke. Wer diese Gdata-Software einsetzt, sollte daher prüfen, ob in der eigenen Organisation die Software schon per automatischem Update auf die fehlerbereinigte oder neuere Version aktualisiert wurde. Gegebenenfalls sollten Admins dies manuell nachholen.

Silicon Labs stellen insbesondere Schaltkreise für die Anbindung etwa von älteren seriellen Schnittstellen(-protokollen) auf USB her. Die Installationsprogramme für zugehörige Treiber und Software weisen in vielen Fällen eine Sicherheitslücke auf, die das Unterschieben von eigenen Bibliotheken und somit das Einschleusen von eigenem Code ermöglicht.

Anzeige

Eine Zusammenfassung versteckt Silicon Labs hinter einem Log-in. Jedoch sind die CVE-Einträge zu den verwundbaren Produkten öffentlich. Denen zufolge filtern die Installer den Suchpfad nicht ordentlich, was diese sogenannten DLL-Injection-Lücken aufreißt. Das können Angreifer zum Ausweiten ihrer Rechte oder der Ausführung beliebigen Codes beim Start der Installer ausnutzen.

Insgesamt sind die Installationspakete zu zehn Produkten von Silicon Labs davon betroffen:

Die Installationsprogramme für veraltete Betriebssysteme, etwa USBXpress, sind in offenbar verwundbaren Versionen auf der Download-Seite von Silicon Labs verfügbar. Wer diese Software noch benötigt, sollte den Support des Unternehmens kontaktieren und um fehlerkorrigierte Installationsprogramme bitten. Bis auf einen universellen Windows-Treiber für die CP210x-VCP-Module sind auch die Installer für die USB-Konverter noch älterem Datums. Gegebenenfalls hilft auch hier, beim Hersteller-Support nach fehlerkorrigierten Installationspaketen zu fragen.

Derzeit fallen Scriptkiddies weltweit offensichtlich auf Betrüger herein und hantieren mit einem manipulierten Malware-Baukasten, der ihre Systeme mit Schadcode infiziert.

Anzeige

Darauf sind Sicherheitsforscher von CloudSEK gestoßen, die ihre Erkenntnisse in einem Beitrag zusammengefasst haben. Ihnen zufolge ist eine trojanisierte Version vom XWorm RAT Builder in Umlauf. Das ist ein Baukasten, mit dem man mit vergleichsweise wenig Aufwand Trojaner erstellen kann. Diese Variante ist aber selbst Schadcode und kopiert etwa Passwörter von PCs.

Der präparierte Baukasten wird den Sicherheitsforschern zufolge in erster Linie von Scriptkiddies von Github und anderen Plattformen heruntergeladen. Eigentlich kostet so ein Baukasten Geld, doch die Betrüger bewerben ihn sozialen Netzwerken als kostenlos.

Weltweit soll die Malware mehr als 18.000 Geräte infiziert haben. Der Großteil davon ist in den USA und Russland. Welches Ziel die Drahtzieher hinter dieser Kampagne konkret verfolgen, bleibt unklar. Zum jetzigen Zeitpunkt soll die Malware mehr als 1 Terabyte an Log-in-Daten kopiert haben.

Einrichtungen der sogenannten kritischen Infrastruktur haben im vergangenen Jahr deutlich mehr Cybersicherheitsvorfälle gemeldet als in den Jahren zuvor. Das geht aus einer Antwort der Bundesregierung auf eine parlamentarische Anfrage der FDP-Fraktion hervor.

Anzeige

Demnach gab es 2024 insgesamt 769 solcher Meldungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) – rund 43 Prozent mehr als im Jahr zuvor, als 537 Meldungen das BSI erreichten. In den Jahren 2021 und 2022 waren beim BSI 385 Meldungen beziehungsweise 475 Meldungen zu Cybersicherheitsvorfällen eingegangen. Betreiber von Anlagen und Einrichtungen, die als kritische Infrastruktur gelten, sind verpflichtet, solche Vorfälle unverzüglich dem BSI zu melden.

Die Bundesregierung weist in ihrer Antwort allerdings darauf hin, dass nicht hinter jeder Meldung notwendigerweise ein Cyberangriff steht. Nicht in jedem Fall habe der Betreiber aufklären können, ob dem Cybersicherheitsvorfall ein Angriff oder eine andere Ursache zugrunde lag.

Daher sei auch der Anteil von Vorfällen, die auf staatliche Akteure zurückgehen, nicht bekannt. Zur kritischen Infrastruktur zählen beispielsweise Energie- und Transportunternehmen, Telekommunikationsanbieter, Kliniken und Kläranlagen.

Als ITler wissen Sie recht gut, was für einen sicheren Betrieb des Unternehmens nötig wäre. Aber vor der Umsetzung gilt es, die Geschäftsführung von der Notwendigkeit zu überzeugen. Dieses heise security Webinar liefert Ihnen die notwendigen Fertigkeiten, Ihrem Chef Themen der Informationssicherheit richtig "zu verkaufen".

Anzeige

Die Kommunikation zwischen Sicherheitsspezialisten und Geschäftsführung scheitert oft schon an der Themenwahl; die eher technisch orientierten Fachleute finden keine gemeinsame Gesprächsebene mit den Entscheidungsträgern. Hinzu kommen fehlendes Geschick bei der Gesprächsführung und manchmal auch ungeschickt vorgebrachte Argumente.

Unsere sowohl in der Security als auch in der C-Level-Kommunikation erfahrenen Referenten zeigen deshalb auf, welche Themen die Geschäftsleitung überhaupt bewegen und schlagen dann die Brücke zur Informationssicherheit. Zudem diskutieren sie, welchen Stellenwert Compliance und Co in diesem Zusammenhang haben und ob sie tatsächlich das Mittel zu einer größeren Akzeptanz der Informationssicherheit sind. Das ergänzen sie mit bewährten Techniken zur Vorbereitung und Führung eines Pitch-Gesprächs.

Das Webinar richtet sich an Sicherheits- und auch Datenschutzverantwortliche in Firmen, Organisationen und Behörden. Es handelt sich hierbei weder um eines der typisch technischen heise security Webinare noch um eine der verbreiteten Management-Schulungen. Die Referenten Christoph Wegener und Wilhelm Dolle haben zwar einen ausgeprägt technischen Background, aber auch reichlich Erfahrung in der Kommunikation mit Firmen-Chefs und Management. So können sie die Brücke schlagen und IT-Spezialisten die notwendigen Strategien und Techniken für erfolgreiche Kommunikation zu Security-Themen vermitteln.

Einem Sicherheitsforscher ist es gelungen, Apples neuen USB-C-Controller zu entschlüsseln, der seit dem iPhone 15 in den Smartphones des Konzerns steckt. Einen entsprechenden Talk gab es bereits auf dem letzten Chaos Communication Congress (38C3) Ende Dezember in Hamburg, das Video dazu ist nun publiziert worden. Thomas Roth alias stacksmashing, Gründer des Security-Education-Unternehmens hextree.io, der sich unter anderem auf iOS-Reverse-Engineering spezialisiert hat, zeigt darin, was der sogenannte ACE3 alles kann – und wie er potenziell angreifbar ist.

Anzeige

Der Mikrocontroller stammt eigentlich von Texas Instruments (TI), wurde aber speziell für Apple angepasst. Neben dem iPhone 15 in allen vier Varianten soll er auch in allen iPhone-16-Modellen sowie demnächst im kommenden iPhone SE 4 stecken. Apple hatte aufgrund der USB-C-Pflicht der Europäischen Union zuvor alle iPhones mit proprietärem Lightning-Anschluss vom Markt genommen. Der ACE3 gilt als grundsätzlich bekannt, da er auf dem ACE2 im MacBook Pro basiert. Hier gelang es Roth bereits, mit einem eigenen macOS-Kernelmodul (das sich allerdings nur von Admins installieren lässt) eine persistente Backdoor einzubauen, die auch vollständige System-Restore-Prozesse überlebt.

Beim ACE3 ist das aber nicht mehr so "leicht" möglich. Laut dem Sicherheitsexperten hat Apple angepasste Firmware-Updates pro Gerät implementiert, das Debug-Interface abgeschnitten und eine Flash-Validierung eingebaut. Zudem fehlen Teile der Firmware. Roth musste zum Reverse Engineering mit verschiedenen komplexen Methoden arbeiten, darunter RF-Sidechannel-Analysen und Faultinjection auf elektromagnetische Art. So sei es ihm gelungen, eine Code-Ausführung auf dem ACE3 zu ermöglichen, inklusive ROM-Dump.

Das komplexe Reverse Engineering offenbart einige potenzielle Zugangswege. Der ACE3 soll einen vollwertigen USB-Stack enthalten und verbindet sich mit internen Komponenten wie dem SPMI-Bus und dem JTAG-Application-Prozessor. Dennoch dürfte es schwierig sein, die von Roth vorgeführten Angriffe breit anzuwenden. Er selbst arbeitet aber daran, die notwendigen Hardwarekosten auf unter 100 US-Dollar zu senken.

Noch in diesem Jahr wird die deutsche Umsetzung der NIS2-Regulierung wirksam werden. Die europäische Cybersicherheits- und Resilienzrichtlinie NIS2 verpflichtet rund 30.000 – auch mittelständische – Unternehmen in Deutschland zu Maßnahmen zur Stärkung ihrer Resilienz gegenüber Cyberangriffen. Betroffen sind zudem Zulieferer und Dienstleister dieser Unternehmen: NIS2 bezieht ausdrücklich auch die Sicherheit der Lieferkette mit ein.

Anzeige

Die Online-Konferenz NIS2 – was jetzt zu tun ist liefert kompakt an einem Tag Antworten auf die wichtigsten Fragen: Welche Unternehmen sind betroffen? Welche Maßnahmen müssen umgesetzt werden? Welche Fristen gelten dabei? Welche Schwierigkeiten und Fallstricke lauern bei der Betroffenheitsprüfung? Wie läuft die Umsetzung in der Praxis? Und, da NIS2 auch Schulungen von Mitarbeitenden und Geschäftsführung fordert: Wer muss wie geschult werden?

Erfahren Sie am 3. April von rennommierten Expertinnen und Experten für IT-Sicherheit und IT-Recht, was Sie jetzt tun müssen, um Ihr Unternehmen auf NIS2 vorzubereiten. Dabei ist viel Raum für Ihre Fragen vorgesehen. Veranstalter der Konferenz sind iX, das heise-Magazin für professionelle IT, und Sigs Datacom. Bei Buchung bis zum 28. Februar profitieren Sie von 20 Prozent Frühbucherrabatt.