Comretix Blog

Der Webbrowser Brave ist etwa aufgrund der integrierten Werbeblockade recht beliebt. Nun wurde eine Sicherheitslücke darin entdeckt, durch die Angreifer die Quelle eines Downloads falsch anzeigen lassen können. Ein Brave-Update stopft das Sicherheitsleck.

Anzeige

Auf der Bug-Bounty-Plattform Hackerone hat der User mit dem Handle syarif07 den sicherheitsrelevanten Fehler gemeldet. In den "Datei speichern"-Dialog des Betriebssystems können Angreifer demnach anstatt der eigentlichen Download-Quelle eine andere URL anzeigen lassen. Das geht syarif07 zufolge darauf zurück, dass Brave für die Anzeige den Referrer-Header auswerte, der sich fälschen lasse und sich somit eine vertrauenswürdige Quelle vorgaukeln lasse. Dadurch können Angreifer etwa Malware-Downloads verschleiern.

Zunächst hatte der Melder als Schweregrad der Lücke "kritisch" vorgeschlagen, die Brave-Entwickler haben sie jedoch auf "hoch" zurückgestuft – kritische Lücken hätten einen Hotfix erfordert, das gab ihnen mehr Zeit für die Programmkorrektur. Eine CVE-Nummer wurde inzwischen ebenfalls vergeben und heute morgen veröffentlicht (CVE-2025-23086, kein CVSS-Wert, Risiko "hoch").

Der CVE-Eintrag erklärt die Lücke folgendermaßen: Auf den meisten Desktop-Plattfomen verwendet Brave Browser 1.70 bis 1.73 eine Funktion zum Anzeigen der Quell-Seite im vom Betriebssystem bereitgestellten Dateiauswahl-Dialog, wenn eine Seite Nutzern einen Dialog zum Hoch- oder Herunterladen von Dateien anzeigt. Die Quelle wurde in einigen Fällen nicht korrekt hergeleitet, was zusammen mit einer Open-Referrer-Schwachstelle auf einer vertrauenswürdigen Webseite von einer bösartigen Webseite missbraucht werden kann, um einen Download als von der vertrauenswürdigen Seite stammend anzeigen zu lassen.

Im Darknet stehen angeblich interne und vertrauliche Daten des Informationstechnikunternehmens Hewlett Packard Enterprise (HPE) zum Verkauf. Ob die Daten echt sind, ist bislang unklar.

Anzeige

Medienberichten zufolge gibt HPE an, den Vorfall derzeit zu untersuchen und Vorsichtsmaßnahmen ergriffen zu haben. Bislang gebe es jedoch noch keine Hinweise auf eine Cyberattacke. Die Antwort auf eine Anfrage von heise Security steht derzeit noch aus. Das Unternehmen versichert, vorsorglich interne Zugangsdaten zurückgesetzt zu haben. Der Geschäftsbetrieb sei davon nicht betroffen.

Der Leaker gibt an, dass die Angreifer unter anderem über einen API-Zugriff interne Daten kopieren konnten.

(Bild: Screenshot)

Microsoft erinnert IT-Verantwortliche daran, dass die Exchange-Server 2016 und 2019 am 14. Oktober 2025 das Support-Ende erreichen. An dem Datum erhalten sie ihr letztes Sicherheitsupdate.

Anzeige

In einem Techcommunity-Beitrag schreibt Microsoft, dass die Redmonder ab diesem Datum keine technische Unterstützung mehr liefern. Das gelte für technische Support-Probleme, Fehlerkorrekturen, die die Stabilität und Nutzbarkeit des Servers betreffen, Sicherheitsupdates für Schwachstellen und Zeitzonen-Aktualisierungen. Die Kundeninstallationen liefen selbstverständlich weiter, jedoch empfiehlt Microsoft, aufgrund des nahenden Support-Endes und potenzieller zukünftiger Sicherheitsrisiken, dass Betroffene jetzt handeln.

Wenig überraschend lautet die erste Empfehlung, auf Exchange Online oder Microsoft 365 zu migrieren – die Cloud-Dienste von Microsoft. Dies sei die beste und einfachste Option, beschwören die Autoren des Techcommunity-Beitrags.

Allerdings soll früh in der zweiten Jahreshälfte der On-Premises-Server Exchange SE erscheinen. Laut Upgrade-Anleitung von Microsoft erlaubt dieser eine direkte Migration von Exchange 2019 CU 14 oder CU15 sowie weiteren, bis dahin erschienenen Service-Updates.

Der Präsident des Landeskriminalamts (LKA) in Rheinland-Pfalz, Mario Germano, sieht eine wachsende Selbstradikalisierung junger Menschen auf TikTok. "Wir hatten jetzt vermehrt Fälle, in denen Minderjährige über TikTok radikalisiert wurden", sagte Germano im Gespräch mit der Deutschen Presse-Agentur in Mainz.

Anzeige

Dies gelte insbesondere für islamistische Täter oder geplante islamistische Anschläge, "die wir noch verhindern konnten". Viele dieser Beschuldigten hätten über TikTok überhaupt erst den Zugang zum Thema Islamismus gefunden.

Islamistische und rechtsradikale Propaganda habe mit TikTok eine Plattform gefunden, auf der sich viel einfacher größere Menschengruppen ansprechen ließen als früher mit dem Verteilen von Flyern auf Marktplätzen oder umstrittenen Auftritten in den Innenstädten, sagte Germano. "Das wird gezielt ausgenutzt."

"Auf TikTok haben radikale Gruppierungen Livestreamformate und sie können verschiedene Formen von Videoschnipseln einspielen, die der Algorithmus dann wieder ausspielt, letzten Endes also für sie arbeitet." Dies sei viel effektiver als Menschen anzusprechen. "Für Menschenfänger ist es bequemer geworden, auf TikTok aktiv zu werden", besonders weil der Algorithmus die empfängliche Zielgruppe ohne Aufwand auswähle.

Um Angriffe vorzubeugen, sollten Netzwerkadmins die Firmware ihrer Ethernet-Switches der Serie EDS-508A von Moxa auf den aktuellen Stand bringen.

Anzeige

In einer Warnmeldung führt der Hersteller von Netzwerklösungen die Schwachstelle (CVE-2024-12297) als "kritisch" auf. Davon sind Geräte bis einschließlich der Firmwareversion 3.11 betroffen. Die Entwickler führen aus, dass die Client- und Back-End-Server-Authentifizierung kaputt ist.

Demzufolge können Angreifer an der Schwachstelle ansetzen und sich unbefugt Zugriff auf Systeme verschaffen. Das kann beispielsweise durch Brute-Force-Attacken oder MD5-Hash-Kollisionen geschehen. Im Anschluss können Angreifer Geräte vollständig kompromittieren.

Um das Sicherheitsupdate zu bekommen, müssen Admins den Moxa-Support kontaktieren. Ob es bereits Angriffe gibt und woran man bereits attackierte Switches erkennen kann, führt Moxa derzeit nicht aus.

Die Hotel-Verwaltungsplattform Otelier hatte im vergangenen Juli ungebetenen Online-Besuch, der sich an den dort gespeicherten Daten gütlich tat. Insgesamt rund 437.000 Datensätze von Kunden etwa der Hotelketten Hilton, Hyatt oder Marriott gelangten dadurch in falsche Hände. Nun hat das Have-I-Been-Pwned-Projekt (HIBP) die Daten durchsuchbar in den eigenen Datenfundus integriert.

Anzeige

Laut Mitteilung von Betreiber Troy Hunt auf der Have-I-Been-Pwned-Webseite fand der Einbruch bei Otelier bereits am 1. Juli 2024 statt. Es handelt sich dabei um eine Verwaltungsplattform, die ihre Dienste Hotelketten, darunter namhaften wie Hilton, Hyatt oder Marriott anbietet. Der Datensatz, der HIBP zugänglich gemacht wurde, umfasst 436.855 Datensätze, unter anderem mit E-Mail-Adressen von Kundinnen und Kunden. Weitere 868.000 generierte E-Mail-Adressen von booking.com und Expedia hat Hunt den eigenen Angaben nach hingegen nicht verwertet. Insgesamt gaben die Täter gegenüber Bleeping Computer an, 8 TByte an Daten aus den Amazon-S3-Buckets von Otelier kopiert zu haben.

Neben den E-Mail-Adressen finden sich auch Namen, Anschriften, Telefonnummern, Käufe, Reisepläne und teilweise gekürzte Kreditkartendaten in den geleakten Daten. Damit können Kriminelle etwa zielgerichtetere Phishing-Angriffe auf potenzielle Opfer starten.

Auf der Hauptseite von Have I Been Pwned können Interessierte ihre E-Mail-Adresse angeben und sich anzeigen lassen, ob diese in Datenlecks und -diebstählen in der Vergangenheit enthalten war. Bei Diensten, in denen die E-Mail-Adresse auftaucht, sollten Betroffene dann zumindest ihre Passwörter ändern und schauen, ob ungewollte Modifikationen vorgenommen worden. Bei der Gelegenheit sollte, sofern verfügbar, auch die Mehr-Faktor-Authentifizierung aktiviert oder gegebenenfalls auf Passkeys umgestellt werden.

Sicherheitslücken in Grafiktreibern von Nvidia gefährden die Sicherheit von PCs. Angreifer können durch Schwachstellen unbefugt Informationen auslesen oder verändern oder Systeme mit Denial-of-Service-Angriffen lahmlegen.

Anzeige

In einer Sicherheitsmitteilung listen Nvidias Entwickler mehrere Sicherheitslecks auf, die Angreifer missbrauchen können und für die nun Aktualisierungen bereitstehen, die sie schließen. Die schwerwiegende Sicherheitslücke in den Nvidia GPU Display-Treibern für Linux und Windows basiert auf einem Fehler, durch den Daten über das Ende hinaus oder vor den Anfang eines Puffers geschrieben werden. Dadurch können unbefugt Zugriffe auf Informationen erfolgen, sich Daten verändern oder das System mittels DoS zum Stillstand bringen (CVE-2024-0150, CVSS 7.1, Risiko "hoch").

Nvidia bietet zudem Treiber für virtuelle GPUs an, bei denen Nvidia-GPUs in Rechenzentren respektive Servern sitzen und von Workstations als virtuelle Grafikkarten für Berechnungen genutzt werden können. Im Virtual GPU Manager klafft eine Sicherheitslücke, bei denen bösartige Gäste Speicherverletzungen provozieren können. Dadurch können sie unter anderem Schadcode einschleusen und ausführen, das System lahmlegen oder Daten lesen und manipulieren (CVE-2024-0146, CVSS 7.8, hoch).

Beide Treiber haben noch weitere, aber weniger riskant eingestufte Sicherheitslücken, die Nvidias Entwickler mit aktualisierten Software-Versionen stopfen. Die Windows-Treiberversionen 553.62 und 539.19 sowie unter Linux die Versionen 550.144.03 und 535.230.02 korrigieren die Fehler. Dies sind auch die korrigierten Versionsstände für die virtuellen Gast-Treiber der vGPU-Lösungen. Zudem muss die vGPU-Software auf Stand 17.5 respektive 16.9 gebracht werden, um die Schwachstellen darin auszubessern. Die Software steht auf der Download-Seite von Nvidia zum Herunterladen bereit.

Webanwendungen sind ein beliebtes Ziel von Cyber-Angriffen. Der iX-Workshop OWASP® Top 10 für Entwickler führt in die zehn häufigsten Risiken ein, denen Webanwendungen ausgesetzt sind. Da Webanwendungen häufig mit Schwachstellen entwickelt werden, ist dieses Wissen entscheidend, um die Integrität und Sicherheit von Anwendungen zu gewährleisten.

Anzeige

Über die häufigsten Sicherheitslücken informiert das Open Web Application Security Project (OWASP®) in seinen Top Ten Web Application Security Risks.

In diesem praxisorientierten Workshop erfahren Entwickler und IT-Profis, wie sie Sicherheitslücken systematisch erkennen und beheben können. Im Mittelpunkt stehen die zehn häufigsten Sicherheitsrisiken nach der OWASP-Klassifizierung. Sie lernen nicht nur theoretische Grundlagen, sondern durchlaufen konkrete Übungsszenarien, die Ihnen helfen, ein tiefes Verständnis für die OWASP® Top 10 Risiken zu entwickeln. Sie lernen, wie Schwachstellen in Web-Applikationen identifiziert und ausgenutzt werden und welche Gegenmaßnahmen sinnvoll sind.

Im Unterschied zum Workshop OWASP® Top 10: Kritische Sicherheitsrisiken für Webanwendungen verstehen führen Sie in diesem Workshop selbstständig Übungen durch, in denen typische Angriffsmethoden erlernt werden. Jeder Teilnehmende erhält einen individuellen Zugang zur Trainingsplattform. Dort suchen Sie selbstständig mit Kali Linux und Burp nach Schwachstellen in verschiedenen verwundbaren Anwendungen. Der Referent steht während der gesamten Übung für Fragen zur Verfügung und stellt die Lösung nach der vorgegebenen Zeit in der Gruppe vor.#

Die Entwickler des Passwort-Managers Bitwarden haben die Smartphone-Apps von .NET MAUI auf nativen Code umgezogen. Beta-Versionen gab es schon; jetzt ist die native Android-App über den Google Play Store allgemein verfügbar.

Anzeige

In einem Blog-Beitrag erörtern die Bitwarden-Entwickler die Neuerung. Der Umzug zu nativen mobilen Apps "erlaube Bitwarden, Nutzern neue Funktionen anzubieten, verbesserte App-Performance und tiefere Integration mit nativen Hardwarefunktionen wie Biometrie und Mehr-Geräte-Unterstützung", schreiben sie. Die Entwickler versprechen etwa eine schneller reagierende Bedienoberfläche, mit einem schnelleren Bildschirmaufbau der App selbst sowie spürbar flotteren Reaktionen, wenn man Schaltflächen antippt.

Die Bedienoberfläche sei zudem besser angepasst und responsiver sowie auf die jeweilige mobile Plattform maßgeschneidert. Aufgrund der Anpassung an das Betriebssystem soll auch die Bedienung intuitiver werden und die Apps so reagieren, wie Nutzer es vom jeweiligen OS gewohnt sind. Zudem verspricht Bitwarden eine allgemeine Verbesserung der Sicherheit und Privatsphäre, da native Apps auf integrierte, plattformspezifische Sicherheitsfunktionen zugreifen.

Die nativen Apps von Bitwarden setzen auf Kotlin anstatt wie zuvor auf .NET MAUI, schreiben die Entwickler in der Produktbeschreibung im Google Play Store. Die App läuft ab Android 10, ältere Varianten werden nicht mehr unterstützt. Im Play Store wurde die Aktualisierung bereits in der vergangenen Woche eingepflegt, nun ist der Blog-Beitrag entsprechend aktualisiert. Die Roadmap sieht auch eine native iOS-App vor, diese ist aber noch nicht allgemein verfügbar.

Seit 2025 gilt in Deutschland die gesetzliche Verpflichtung zur strukturierten E-Rechnung im B2B-Bereich. Das betrifft insbesondere Softwareentwickler und Hersteller von Faktura- oder ERP-Software, die nun ihre Produkte entsprechend anpassen müssen. Unser Workshop bietet Ihnen eine praxisnahe Anleitung, wie Sie die neuen XML-Formate des europäischen Rechnungsstandards EN16931, wie Cross Industry Invoice (CII), Universal Business Language (UBL), Factur-X und ZUGFeRD, sowie XRechnung im B2G-Bereich, unterstützen, prüfen und umwandeln können.

Anzeige

In unserem Workshop E-Rechnungspflicht: Software richtig implementieren erhalten Sie einen tiefgehenden Einblick in die Umsetzung der neuen gesetzlichen Vorgaben zur E-Rechnungspflicht. Sie beschäftigen sich mit den Rollen, den Darstellungsdetails, der Umwandlung, der Prüfung und Umsetzung der X(ML)-Rechnung. Dazu gehören praktische Übungen, in denen Sie die verschiedenen XML-Formate kennen und anwenden lernen.

Der nächste Workshop findet vom 17. bis 21. Februar 2025 statt und richtet sich an Softwareentwickler und Projektleiter, die Software herstellen, Rechnungen erstellen oder einlesen, sowie an ERP-Softwarehersteller und Data Scientists, die Auswertungen erstellen. An drei Vormittagen (17., 19. und 21. Februar) treffen Sie sich online in der Gruppe mit dem Trainer. Für den zweiten und vierten Tag nehmen Sie Aufgaben mit, die Sie selbstständig lösen können und anschließend in der Gruppe besprechen.

Durch den Workshop führen Andreas Pelekies, technischer Erfinder des ZUGFeRD-Standards und (Co-)Autor verschiedener internationaler Standards, sowie Jochen Stärk, Diplom-Wirtschaftsinformatiker und Backend-Entwickler. Beide verfügen über langjährige Erfahrung in der Softwareentwicklung und haben sich auf Themen rund um die E-Rechnung spezialisiert.

Bei der D-Trust GmbH ist es am 13. Januar 2025 zu einem Cyberangriff gekommen. Betroffen ist laut D-Trust das Antragsportal für Signatur- und Siegelkarten. Bei dem Angriff seien möglicherweise personenbezogene Daten von Antragstellern entwendet worden. "Ausgegebene Signatur- und Siegelkarten wurden nicht kompromittiert und können weiter genutzt werden. PINs, Passwörter, Zahlungsinformationen sowie andere Systeme sind nicht betroffen", heißt es in einer Pressemitteilung von D-Trust.

Anzeige

In einem Schreiben informieren die Geschäftsführer ihre Kunden darüber, dass zu den abgegriffenen Daten "Vor- und Nachname, E-Mail-Adresse, Geburtsdatum, ggfls. Adressdaten sowie ggfls. Nummer des Ausweisdokuments" gehören. Auf eine Anfrage, welche Kartentypen betroffen sind, hat D-Trust bisher nicht reagiert. Laut dem Hinweis eines Lesers sind zum Beispiel auch Signaturkarten für Tragwerksplaner (Bauingenieure) betroffen. Ob auch das Gesundheitswesen betroffen ist, ist unklar. Viele Kunden gehören zum Gesundheitswesen. Das Unternehmen stellt auch Signatur- und Siegelkarten für Ärzte, Apotheker und andere am Gesundheitswesen Beteiligte bereit, um digitale Dienste im Gesundheitswesen zu nutzen.

Überdies ist in dem Kundenschreiben von einem Angriff die Rede, der gezielt "auf eine Störung des Geschäftsbetriebs der D-Trust GmbH ausgerichtet war. Gleichwohl ist nicht auszuschließen, dass die möglicherweise entwendeten Daten zu Ihrer Person auch zu Betrugsversuchen genutzt werden." Weiter fordert D-Trust seine Kunden auf, wachsam zu sein, da die Daten für Betrugsversuche genutzt werden könnten. Ebenfalls heißt es, dass die Funktion und Sicherheit der ausgegebenen Zertifikate nicht beeinträchtigt seien und dass sie gewohnt weiter genutzt werden können.

Nach Bekanntwerden des Angriffs habe D-Trust umgehend Maßnahmen ergriffen, "um den Schutz der Daten im Portal sicherzustellen". Die Aufsichtsbehörden sind informiert und eine Strafanzeige gegen Unbekannt gestellt. Mit den Behörden und einem Sicherheitsteam wird derzeit an der Aufklärung gearbeitet. "Vor dem Hintergrund der laufenden Ermittlungen der Sicherheitsbehörden gegen den Angreifer, können wir Ihnen leider keine weiteren Informationen zur Verfügung stellen", heißt es auf Anfrage von heise online. Unklar ist daher das Ausmaß des Angriffs.

Mitte 2024 kam es bei MSI zu einem Datenabfluss von hunderttausenden Kundendatensätzen. Das Have-I-Been-Pwned-Projekt hat nun 250.000 Datensätze davon in den Datenfundus integriert.

Anzeige

Auf der Projekt-Webseite schreibt der Betreiber Troy Hunt, dass MSI Mitte vergangenen Jahres versehentlich viele tausend Kundendatensätze aus Rückgabe- oder Umtausch-Anfragen (RMA claims) öffentlich zugreifbar gelagert hatte. Für solche Vorgänge müssen Kundinnen und Kunden Formulare ausfüllen und etwa E-Mail-Adressen und Anschriften angeben.

Es waren knapp 250.000 solcher Datensätze zugreifbar. So viele einmalige E-Mail-Adressen nebst Namen, Telefonnummern, physischer Anschrift und Garantieansprüchen umfassten die Daten.

Auf Nachfrage habe MSI lapidar verlauten lassen, dass es keine Belege gebe, dass auf die Informationen jemals zugegriffen wurde. Der Sicherheitsvorfall habe zudem keine staatlichen Anforderungen zur Benachrichtigung über ein Datenleck ausgelöst, da keine Sozialversicherungsnummern, Führerscheinnummern oder Ähnliches betroffen waren.

Auf Anfrage von heise online hat das Landeskriminalamt Niedersachsen erste Zahlen zur Online-Kriminalität aus der Eingangsstatistik der Behörde für das Jahr 2024 extrahiert. In vielen Teilbereichen war die Anzahl an Straftaten offenbar rückläufig, dennoch gab es allein im Flächenland Niedersachsen einen Multi-Millionenschaden zu beklagen.

Anzeige

Die Eingangsstatistik ist nicht die offizielle Polizeiliche Kriminalstatistik (PKS), zu denen die Landeskriminalämter (LKA) und das Bundeskriminalamt (BKA) in der Regel zum zweiten Quartal des Folgejahres informieren. Es gibt unter anderem andere Zuordnungen von Straftaten zu Rubriken. Das BKA führt gar keine Eingangsstatistik und konnte daher keine entsprechenden Auskünfte erteilen.

Das LKA Niedersachsen hat für mehrere Teilbereiche der Online-Kriminalität rückläufige Zahlen festgestellt. Der Gesamtschaden bleibt dennoch beträchtlich. Etwa im Bereich Ransomware gab es Veränderungen zu beobachten. Während 2022 eine niedrige dreistellige Fallzahl zu verzeichnen war, bei der Institutionen im Mittelpunkt standen, kam es 2023 bei konstantem Niveau zu einer Verschiebung hin zu Privatpersonen als Opfer. Im abgelaufenen Jahr wurde nun eine mittlere zweistellige Fallzahl angezeigt, wobei nur noch sehr wenige Privatpersonen betroffen waren ("niedriger einstelliger Bereich"). Verlässliche Aussagen zu finanziellen Schäden können nicht getroffen werden.

Ein größeres Problem sind weiterhin Angriffe auf Online-Banking. Hier nennt das LKA für die Jahre 2022 bis 2024 jeweils Fallzahlen im niedrigen vierstelligen Bereich. Immerhin seien die Zahlen für 2024 leicht rückläufig. Allerdings: Die Schadenssumme liegt im "niedrigen zweistelligen Millionenbereich". Gegenüber 2020 liegen die registrierten Taten jedoch auf sehr hohem Niveau, ergänzen die Beamten.

Aufgrund einer Sicherheitslücke im WordPress-Plug-in W3 Total Cache sind Websites verwundbar. Sind Attacken erfolgreich, können Angreifer auf eigentlich abgeschottete Informationen zugreifen. Admins sollten die dagegen abgesicherte Version installieren.

Anzeige

Bislang gibt es noch keine Berichte über laufende Attacken. Admins sollten aber nicht zu lange mit der Installation des Updates zögern. Laut der Statistik auf der WordPress-Website weist das Plug-in zurzeit mehr als 1 Million aktive Installationen auf.

Vor der Schwachstelle warnen Sicherheitsforscher von Wordfence in einem Beitrag. Die Lücke (CVE-2024-12365) ist mit dem Bedrohungsgrad "hoch" eingestuft. Weil in der is_w3tc_admin_page-Funktion eine Überprüfung fehlt, können Angreifer dort auf einem nicht näher beschriebenen Weg ansetzen.

Das klappt aber nur, wenn sie bereits Zugriff auf Subscriber-Ebene haben. Ist das gegeben, können sie unter anderem unberechtigt Informationen einsehen. Das Plug-in soll bis einschließlich der Version 2.8.1 verwundbar sein. Nun ist die gegen die geschilderte Attacke geschützte Ausgabe 2.8.2 erschienen.

Einen riesigen Katalog an Maßnahmen für IT-Sicherheit verordnet US-Präsident Joe Biden seinen US-Bundesbehörden. Die Bandbreite der Maßnahmen ist gewaltig, sodass kaum ein behördliches IKT-System unberührt bleiben wird. Es muss Jahre gedauert haben, den am Donnerstag veröffentlichen Präsidentenerlass vorzubereiten. Es ist sich gerade noch ausgegangen, vier Tage vor dem Ende der Amtszeit Bidens.

Anzeige

Enthalten sind nicht nur Vorgaben für die interne Gebarung von Bundesbehörden, sondern auch für deren Lieferanten und Dienstleister, sonst hätte das Unterfangen ja wenig Sinn. Unterstützt die eingekaufte Software DNS-Verschlüsselung nicht, nutzt der schönste Resolver nichts. Verarbeitet der BGP-Router des Netzbetreibers die Origin-Schlüssel nicht, läuft die Absicherung der Datenübertragung ins Leere. Ist die Hardware schon vor Einbau kompromittiert, hat die Abwehr schweren Stand.

Doch stehen die Vorgaben im Gegensatz zum Regulierungsabbau, wie ihn Bidens Amtsnachfolger Donald Trump predigt, und zu dessen geplanten radikalen Kürzungen im öffentlichen Dienst. Vielleicht speziell für Trump hebt Bidens Erlass gleich zu Beginn zweimal hervor, wen es abzuwehren gilt: Gegner und Kriminelle, allen voran die Volksrepublik China. Sie sei die "aktivste und hartnäckigste IT-Bedrohung für US-Behörden, den Privatsektor und die Kritische Infrastruktur".

"Es muss mehr getan werden, um die IT-Sicherheit der Nation gegen diese Bedrohungen zu schützen", schreibt der US-Präsident, dessen Erlass frühere Präsidentenerlässe von Barack Obama, Donald Trump und Biden selbst fortschreibt. Er erklärt es zur offiziellen Strategie der Regierung, Anbieter von Software und Cloud-Diensten stärker zur Verantwortung zu ziehen, die Sicherheit behördlicher Kommunikations- und Identitätsmanagementsysteme zu stärken, sowie innovative Entwicklungen und neue Technik (lies: KI) für IT-Sicherheit einzusetzen.

Die US-amerikanische Wettbewerbs- und Verbraucherschutzbehörde FTC (Federal Trade Commission) geht gegen GoDaddy vor, einen der größten Webhosting-Anbieter der Welt. Die unabhängige US-Aufsicht wirft dem Unternehmen mangelnde IT-Sicherheit bei Webhosting-Diensten sowie irreführende Versprechungen zum Datenschutz vor. Cyberangriffe aufgrund schwachen Schutzes könnten GoDaddy-Kunden und deren Website-Besucher schaden. Deshalb verlangt die FTC von GoDaddy etliche Maßnahmen zur Verstärkung der eigenen IT-Sicherheit.

Anzeige

Die US-Behörde verweist auf schwerwiegende Sicherheitsverletzungen in den Jahren von 2019 bis 2022, bei denen Cyberkriminelle unbefugten Zugriff auf Websites von GoDaddy-Kunden erlangen konnten. So konnten im Dezember 2022 etwa Angreifer nach einem Cyber-Einbruch GoDaddy-Webseiten umleiten. Besucher von Kunden-Websites wurden sporadisch und automatisch auf Malware-Seiten weitergeleitet. Ein Jahr zuvor betraf eine GoDaddy-Datenpanne 1,2 Millionen WordPress-Kunden, als sich Cyberangreifer Zugang zu persönlichen Daten dieser GoDaddy-Kunden verschaffen konnten. Insgesamt zählt GoDaddy laut FTC rund 5 Millionen Webhosting-Kunden.

In der offiziellen Beschwerde listet die FTC zu den "unangemessenen Sicherheitspraktiken" unter anderem, dass GoDaddy versäumt hat, Vermögenswerte und Software-Updates zu inventarisieren und zu verwalten, Risiken für seine Shared-Hosting-Dienste nicht abgeschätzt hat, sicherheitsrelevante Ereignisse in der Hosting-Umgebung nicht ausreichend protokolliert und überwacht hat, sowie das Shared Hosting von weniger sicheren Umgebungen nicht getrennt hat. Dazu gehört auch, dass GoDaddy keine Multifaktor-Authentifizierung nutzt und keine Software einsetzt, um Logdateien auf mögliche Bedrohungen zu prüfen.

Zudem wirft die FTC GoDaddy vor, Kunden durch irreführende Angaben auf der eigenen Website, in E-Mails oder bei Werbung in sozialen Netzwerken getäuscht zu haben. Der Webhoster verweist dabei auf "angemessene Sicherheit" seiner Angebote und dass sich GoDaddy an Datenschutz-Rahmenvereinbarungen der USA mit der EU und der Schweiz hält. Diese verlangen von Unternehmen "angemessene und geeignete Maßnahmen zum Schutz personenbezogener Daten". Die Angaben GoDaddys sind nach Einschätzung der FTC nicht zutreffend.

Eine aktuelle Ransomware-Kampagne zielt auf Datenhalden in Amazon-S3-Buckets. Die Angreifer nutzen die "Server-Side Encryption with Customer Provided Keys" (SSE-C), also serverseitige Verschlüsselung mit von Kunden angegebenen Schlüsseln, von Amazons AWS.

Anzeige

Zur Entschlüsselung der mit AES-256-Keys verschlüsselten Daten verlangen die Cyberkriminellen Lösegeld, schreibt Halcyon in einer Analyse. Besonders auffällig: Die Angreifer missbrauchen keine Schwachstellen in AWS, sondern nutzen reguläre Amazon-AWS-Zugangsdaten. Die Taktik stelle den IT-Forschern zufolge eine signifikante Evolution der Ransomware-Fähigkeiten dar, da es keine bekannte Methode zur Wiederherstellung der Daten gebe außer der Zahlung des Lösegelds.

Sie heben außerdem hervor, dass die Täter native Ressourcen für ihren Angriff missbrauchen. Mit kompromittierten AWS-Keys verschlüsseln sie S3-Buckets mittels SSE-C, was die Wiederherstellung ohne den erstellten Schlüssel unmöglich mache. Der Datenverlust sei irreversibel, da AWS Cloudtrail lediglich eine HMAC der Verschlüsselungskeys protokolliere, was für eine Wiederherstellung oder forensische Analyse nicht ausreiche. Zudem bauen die Cybergangster Druck auf, indem die Dateien zur Löschung innerhalb von sieben Tagen markiert werden. In den Erpressernotizen mit den Zahlungsdetails warnen die Täter außerdem davor, die Zugangsberechtigungen zu ändern.

Kaspersky hat im Rahmen dieser Ransomware-Kampagne im Darknet gewühlt und stieß dabei seit Jahresbeginn auf mehr als 100 einzigartige, kompromittierte Kontoinformationen für Amazon AWS. Insgesamt seien im Darknet große Mengen an unterschiedlichen Zugängen zu Amazons AWS-Cloud zu finden, teilt der russische Antivirenhersteller mit: mehr als 18.000 Konten seien mit der URL "console.aws.amazon.com" verknüpft, über 126.000 mit "portal.aws.amazon.com" und mehr als 245.000, die zu "signin.aws.amazon.com" gehören sollen. Die Virenforscher ergänzen, dass diese Informationen oft von Infostealern oder Datastealern stammen würden, die solche Daten sammeln. Am häufigsten seien dies der Lumma-Stealer und Redline.

Angreifer können Netzwerke mit Controllern und Gateways von HPE Aruba attackieren. Sind Attacken erfolgreich, kann Schadode auf Systeme gelangen.

Anzeige

Wie aus einer Warnmeldung hervorgeht, sind davon konkret die Produkte Mobility Conductor, Mobility Controllers und WLAN und SD-WAN Gateways mit den Softwareversionen bis jeweils inklusive AOS 8.10.0.14, 8.12.0.2 und 10.4.1.4 bedroht.

Die Entwickler warnen, dass davon auch weitere Versionsstränge bedroht sind, die aber nicht mehr im Support sind. Damit ausgestattete Geräte bleiben verwundbar. Um weiterhin Sicherheitsupdates zu bekommen, ist ein Upgrade auf eine aktuelle Ausgabe fällig.

Eine Lücke (CVE-2025-23051 "hoch") betrifft das webbasierte Management-Interface. Hier können Angreifer Systemdaten überschreiben. Die zweite Schwachstelle betrifft das CLI-Interface (CVE-2025-23052 "hoch"). An dieser Stelle können Angreifer eigene Befehle im Betriebssystem ausführen. Wie Attacken ablaufen können und ob es bereits Angriffe gibt, ist derzeit nicht bekannt.