Comretix Blog

Sonicwall hat seine Kunden in E-Mails darüber informiert, dass am Dienstag dieser Woche Updates für die Firewalls erscheinen. Sie schließen unter anderem eine Sicherheitslücke, die bereits in freier Wildbahn im SSL-VPN von SonicOS angegriffen werden. Zum Meldungszeitpunkt stehen sie jedoch noch nicht bereit.

Anzeige

Ein Sonicwall-Kunde hat die E-Mail auf reddit veröffentlicht. Wir haben zudem entsprechende Leserhinweise mit Auszügen aus dem Mailtext erhalten. Demnach wird eine Sicherheitslücke in Sonicwall-Firewalls derzeit bei Kunden missbraucht, die SSL-VPN oder SSH-Management aktiviert haben. Durch das Aktualisieren auf die jüngste Firmware, die im Laufe des 7. Januars erscheinen soll, wird die Sicherheitslücke geschlossen.

Ein Screenshot zeigt eine Tabelle mit vier Schwachstelleneinträgen, die das Update SNWLID-2025-0003 ausbessern soll. Derzeit ist es noch nicht veröffentlicht, wird aber nach üblicher Namenskonvention hier erscheinen. Bei der derzeit angegriffenen Lücke handelt es sich offenbar um eine Umgehung der Authentifizierung in SonicOS SSLVPN – Details nennt der Hersteller jedoch nicht (CVE-2024-53704, CVSS 8.2, Risiko "hoch"). Aufgrund eines kryptografisch schwachen Pseudo-Zufallszahlengenerators, der bei vom SonicOS SSLVPN Authentifizierungstoken-Generator zum Einsatz kommt, lassen sich in einigen Fällen die Token vorhersagen und die Authentifizierung ebenfalls umgehen (CVE-2024-40762, CVSS 7.1, hoch).

Zudem gibt es eine Rechteausweitungslücke zu "root" in den Gen7 SonicOS Cloud NSv SSH Config-Funktionen (CVE-2024-53706, CVSS 7.8, hoch). Schließlich findet sich noch eine Schwachstelle im SSH-Management, die eine Server-Side-Request-Forgery (SSRF) ermöglicht. Sie erlaubt Angreifern aus dem Netz TCP-Verbindungen zu einer IP-Adresse auf jedem Port, sofern der Nutzer an der Firewall angemeldet ist (CVE-2024-53705, CVSS 6.5, mittel).

In einer aktuellen Malware-Kampagne versuchen Kriminelle, arglose Opfer auf Phishing-Seiten zur Installation einer gefälschten Telegram-Premium-App zu verleiten. Allerdings landet auf den Android-Smartphones der Infostealer "Firescam".

Anzeige

In einer detaillierten Analyse beschreiben die IT-Forscher von Cyfirma die Malware. "Firescam" wird als gefälschte "Telegram Premium App" auf einer auf der github.io-Domain gehosteten Phishing-Seite angeboten, die die Optik von RuStore imitiert – einem App-Store aus dem russischen VK-Kosmos. Anstatt von Premium-Funktionen in Telegram gibt es jedoch einen umfangreichen Datenabfluss.

Laut der Analyse liefert die Phishing-Seite zunächst einen Installer mit dem Dateinamen "GetAppsRu.apk" und einer Dateigröße von rund 5 MByte aus. Der installiert ein Paket mit dem Namen "ru.store.installer". Ein Programmsymbol mit dem Namen "GetAppsRu’" wird außerdem angelegt. Durch Antippen startet der Dropper, der anbietet, Telegram Premium mit dem Antippen einer Schaltfläche "Install" zu installieren. Nach der Sicherheitsfrage, ob Nutzer diese als "Telegram Premium" angezeigte App installieren wollen, wird die Firescam-Malware installiert. Ein Installationspaket "Telegram Premium.apk" mit etwa 3 MByte Größe wird dafür ausgeführt.

Firescam kontaktiert einen Command-and-Control-Endpunkt auf Firebase und hört dort auf Firebase Cloud Messaging (FCM)-Benachrichtigungen. Außerdem schickt die Malware abgegriffene Daten dorthin. Unter anderem initial nach der Installation die Gerätedaten des infizierten Android-Smartphones. Die Malware überwacht dann etwa die Messages-App und leitet die Inhalte von Textnachrichten weiter, ebenso das Aktivieren und Abschalten des Handy-Bildschirms. Bestimmte Benachrichtigungen, etwa als Konversation oder Alarmierung gekennzeichnete, schickt Firescam an den Kontrollserver; insbesondere Nachrichten aus den Apps Telegram, WhatsApp, Viber und VK stehen auf der Liste des Infostealers. Die Überwachung auf infizierten Geräten ist äußerst umfangreich, auch die Zwischenablage steht unter Beobachtung, genauso wie E-Commerce-Transaktionen. Die Malware kann weitere Schadfunktionen nachladen.

Angreifer können Smartphones und Tablets mit Android attackieren und Geräte im schlimmsten Fall über das Ausführen von Schadcode kompromittieren. Nun sind für bestimmte Geräte dagegen gerüstete Android-Ausgaben erschienen.

Anzeige

Wie aus einem Beitrag hervorgeht, stuft Google eine Schwachstelle im System als besonders gefährlich ein. Insgesamt haben die Entwickler fünf "kritische" Schadcode-Lücken (CVE-2024-43096, CVE-2024-43770, CVE-2024-43771, CVE-2024-43747, CVE-2024-4349748) im System geschlossen. In allen Fällen sollen Attacken aus der Ferne möglich sein.

Wie Angriffe vonstattengehen könnten, ist bislang nicht bekannt. Bislang gibt es keine Informationen, dass Angreifer Schwachstellen bereits ausnutzen.

In der Summe haben die Entwickler Lücken im Framework, Media Framework und System geschlossen. Nach erfolgreichen Attacken können sich Angreifer unter anderem höhere Nutzerrechte verschaffen und DoS-Zustände erzeugen.

Schwarze Schwäne sind sehr selten. Aber es gibt sie. Als "Black Swan"-Event wird ein Ereignis bezeichnet, das sehr unerwartet ist, aber erhebliche Auswirkungen hat. Man kann beispielsweise das CrowdStrike-Fiasko vom vergangenen Sommer als ein solches Ereignis bezeichnen. Ein fehlerhaftes Update legte Flughäfen, Unternehmen und Krankenhäuser lahm. Das Magazin Politico hat einige Experten befragt, welche unvorhersehbaren Momente es 2025 geben könnte. Künstliche Intelligenz ist gleich für zwei Autoren ein großes Risiko.

Anzeige

Gary Marcus ist KI-Experte und emeritierter Professor für Neurowissenschaften an der New York University. Er gilt als großer Kritiker des aktuellen Hypes um generative KI. Obwohl er die Möglichkeiten von KI grundsätzlich für beschränkt hält, schreibt Marcus in seinem Beitrag, vor allem Cyberkriminelle könnten die Technik nutzen und so großen Schaden anrichten. Es sei das "perfekte Werkzeug für Cyberangriffe". Gemeint sind KI-generierte Texte, die für Phishing-Attacken genutzt werden, aber auch Deepfakes, mit denen Menschen in die Irre geführt werden können. Ein Mitarbeiter einer Hongkonger Bank soll bereits auf ein solches Video hineingefallen sein und Betrügern 25 Millionen US-Dollar geschickt haben.

Large Language Models sind aber auch anfällig für Angriffe wie Jailbreaking und Prompt Injections. Dabei werden die KI-Modelle dazu gebracht, vom Anbieter unerwünschtes Verhalten auszuführen. Chatbots könnten so im harmlosen Fall Fragen beantworten, die sie nicht beantworten sollen, schlimmer wäre der Diebstahl von Kontodaten. Vorstellbar sind aber durchaus auch schlimmere Szenarien.

Marcus warnt auch, generative KI-Werkzeuge würden von Entwicklern beim Coden eingesetzt. Diese verstünden manchmal nicht, was die KI gemacht hat, sie kontrollierten aber auch teilweise einfach nicht allen Code. Das könne Sicherheitslücken mit sich bringen. Große Sorge macht Marcus auch, dass die US-Behörden eher deregulierend agieren.

Dells Update-Pakete gefährden die Systemsicherheit: Aufgrund einer Schwachstelle in Dells Update Package Framework können bösartige Akteure ihre Rechte dadurch ausweiten. Damit können sie betroffene Systeme vollständig kompromittieren.

Anzeige

In einem Support-Artikel erörtert Dell das Problem. "Nutzer mit niedrigen lokalen Berechtigungen können die Schwachstelle missbrauchen, was zur Ausführung beliebiger Skripte aus dem Netz auf dem Server führen kann. Ein Missbrauch könnte zu einem Denial-of-Service durch einen Angreifer führen", schreibt das Unternehmen zudem (CVE-2025-22395, CVSS 8.2, Risiko "hoch").

Details zur Lücke unklar

Wie genau die Lücke ausgenutzt werden kann und wie (erfolgreiche) Angriffe erkennbar sind, beschreibt Dell nicht. Allerdings erklären die IT-Experten, dass sie Nutzern empfehlen, nicht die Extrahieren-Option unter Windows-Betriebssystemen zu nutzen, wenn die Update-Paket-Version niedriger als 22.01.02 ist – gemeint ist offenbar die Nutzung durch Start mit Doppelklick. Zum Entpacken sollte bei den älteren Dateien bei Bedarf die Extrahieren-Option an der Kommandozeile verwendet werden.

Um die Versionsnummer von Dells Update-Paketen herauszufinden, muss die Datei etwa im Datei-Explorer mit rechter Maustaste angeklickt und dort die "Eigenschaften" ausgewählt werden. Im "Details"-Reiter findet sich dann die gesuchte Dateiversion, erklärt das Unternehmen.

Wer zwischen dem Abend des 3. Januar 2025 und der Mittagszeit am Montag, dem 6. Januar, den Warn- und Informationsdienst (WID) des CERT-Bund (Computer Emergency Response Team Bund) besuchen wollte, wurde oftmals vom eigenen Browser daran gehindert. Die Zertifizierungsstelle hatte das Zertifikat des von BSI und Telekom Security betriebenen Dienstes zurückgezogen. Der Grund: In einer speziellen Zertifikatserweiterung versteckten sich zwei "http"-URLs – das war nicht regelkonform.

Anzeige

Die Erweiterung namens "qcStatements" enthält die URLs der "PKI Disclosure Statements", im Falle der D-Trust CA ein etwa dreißigseitiges PDF mit Kontaktadressen, Arbeitsabläufen und relevanten Regelwerken. Die Erweiterung ist für normale TLS-Webseiten-Zertifikate nicht vorgeschrieben – wohl aber für QWACs, also qualifizierte Webseiten-Authentifizierungszertifikate. Und ein solches hatte der CERT-Bund-Dienst inne. Gemäß den Vergaberichtlinien für QWACs ist jedoch vorgeschrieben, dass die Disclosure Statements ausschließlich per HTTPS verzeichnet sein sollen. Und so führte ein fehlendes "https" im Zertifikat zu fehlerhaften HTTPS-Verbindungen auf der Website des CERT-Bund.

Der Regelverstoß tauchte bei D-Trust ausgerechnet am Mittag des Silvestertags auf – am Neujahrstag entschied die CA dann, 25 Zertifikate für insgesamt etwa 60 Hostnamen zurückzuziehen und neu auszustellen. Wie ein Sprecher der Bundesdruckerei, Betreiberin des Dienstes D-Trust, heise security mitteilte, standen Austauschzertifikate am Mittag des 3. Januar bereit und die betroffenen Kunden waren informiert.

Warum es dennoch zwei weitere Tage dauerte, bis die Webseiten des CERT-Bund wieder erreichbar waren, mochte der Bundesdruckerei-Sprecher nicht kommentieren, auch die Auswirkungen des zertifikatslosen Wochenendes können nur die Betreiber seriös einschätzen.

User können mittels CSS in ihren E-Mails getrackt werden. Analog zu Nutzungsdaten im Web können Absender von Mails Daten erfassen und so Rückschlüsse auf das genutzte System ziehen. Das zeigt eine Untersuchung des CISPA Helmholtz-Zentrums für Informationssicherheit. So lassen sich in den Daten der Browser oder Mail-Client, das Betriebssystem und weitere installierte Programme erkennen. Auch die Systemsprache ist über das CSS-Tracking sichtbar.

Anzeige

Die Forscher untersuchten 21 E-Mail-Programme. Sie betrachteten Desktop- und Web-Clients sowie Apps für Android und iOS. Mit unterschiedlichen Techniken versuchten sie, über das CSS Daten zu erhalten. In 18 Fällen war mindestens eine Methode erfolgreich, darunter bei Outlook, Thunderbird und Gmail. Bei diesen Programmen sei es möglich, alle Mail-Adressen aus einem Mail-Client zu identifizieren oder Web-Sitzungen von Nutzern mit deren Mail-Konten zu verknüpfen, erläutert Leon Trampert, der an der Untersuchung mitgewirkt hat. Verhindern lässt sich das CSS-Tracking nur mit textbasierten E-Mails, die ohne CSS auskommen. Daher setzt Protonmail als einziger Client in der Untersuchung auf Verschleierung und lädt alle CSS-Inhalte über einen Proxy.

Im Web kommen JavaScript und Tracking-Cookies zum Einsatz, um Nutzungsdaten zu erheben und einzelne User zu analysieren. Sie lassen sich auch nicht durch gegenteilige Browser-Anfragen vom Tracking abhalten. Weil aber die meisten Mailclients die Ausführung von JavaScript-Code verhindern, haben die Forscher untersucht, welche Möglichkeiten CSS zum Tracking bieten. Dazu prüften sie fast 1200 unterschiedliche Kombinationen aus Browser und Betriebssystem. In knapp 98 Prozent der Fälle konnten sie auf Eigenschaften des Systems schließen.

"Verräterisch sind installierte Schriftarten", erklärt Trampert. Lässt sich etwa eine proprietäre Schriftart von Microsoft erkennen, deutet das auf eine bestehende Installation von Microsoft Office hin. Mittels Berechnungen konnten die Wissenschaftler auf das Betriebssystem schließen. Angreifer können mit diesem Wissen versuchen, Sicherheitslücken des Betriebssystems oder installierter Software auszunutzen und in Systeme einzudringen.

Angeblich haben Cyberkriminelle den kompletten Code des Videospiels "GTA San Andreas" im Internet veröffentlicht. Doch Vorsicht, wer da hineinschauen will: Sicherheitsforscher gehen davon aus, dass die Daten Fake sind und nur als Lockmittel dienen. Im Datenpaket soll sich der Erpressungstrojaner Rhysida verschanzen.

Anzeige

Das geht unter anderem auf einen X-Post von PliskinDev zurück, die sich mit dem Reverse Engineering des Source Codes von GTA und anderen von Rockstar Games entwickelten Spielen beschäftigen. Mittels Reverse Engineering versuchen Entwickler, die Blackbox von Entwicklern zu knacken, um den Code zu rekonstruieren. Das kann dann etwa als Basis für umfangreiche Modifikation eines Spiels dienen.

Auf Screenshots zeigt PliskinDev, dass das Archiv zwar im GTA-Kontext betitelte Dateien enthält, das soll aber nur heiße Luft sein. Sie gehen davon aus, dass in dem Archiv die Ransomware Rhysida schlummert. Wird der Trojaner ausgeführt, verschlüsselt er Daten und erpresst Lösegeld.

Ob das bereits passiert ist und in welchem Umfang die Daten verbreitet werden, ist derzeit unklar. Interessierte Entwickler sollten um das Archiv einen großen Bogen machen, um ihren Computer nicht mit Malware zu infizieren.

Zwei Sicherheitslücken im AiCloud-Dienst von Asus-Routern können Angreifern den Zugriff auf Geräte ermöglichen. Im schlimmsten Fall können sie Router durch Schadcode-Attacken vollständig kompromittieren.

Anzeige

Die AiCloud-Komponente erlaubt es Besitzern von Asus-Routern unterwegs auf etwa Daten von einem angeschlossenen USB-Stick zuzugreifen. Nun gefährden zwei Schwachstellen (CVE-2024-12912 "hoch", CVE-2024-13062 "hoch") die Sicherheit von Netzwerken.

Im Sicherheitsbereich der Asus-Website beschreiben die Entwickler, dass Angreifer für eine erfolgreiche Attacke als Admin angemeldet sein müssen. Ist das gegeben, können sie eigene Befehle ausführen. Wie so eine Attacke im Detail ablaufen könnte, ist bislang nicht bekannt. Derzeit gibt es keine Informationen, ob es bereits Angriffe gibt.

Asus gibt an, die Sicherheitsprobleme in den Firmwares 3.0.0.4_386 series, 3.0.0.4_388 series und 3.0.0.6_102 series gelöst zu haben. Welche Routermodelle konkret betroffen sind, führt der Hersteller zurzeit nicht aus. Wer einen Asus-Router besitzt, sollte dementsprechend sicherstellen, dass die Firmware auf dem aktuellen Stand ist. Nicht mehr im Support befindliche Geräte bekommen keine Sicherheitsupdates mehr. An dieser Stelle sollte das Gerät gewechselt werden.

Angreifer imitieren legitime Plug-ins für die Ethereum-Entwicklungsumgebung Hardhat der Nomad Foundation. Damit greifen sie Entwickler von Software wie Smart Contracts für die Kryptowährung an. Die Täter missbrauchen dabei das Vertrauen, das Entwickler in Open-Source-Plug-ins haben.

Anzeige

Wie die IT-Sicherheitsforscher von Socket in einem Blog-Beitrag schreiben, dauert der Angriff noch an. Bislang haben sie 20 bösartige Pakete von drei Programmierern aufgespürt, die teils auf mehr als Tausend Downloads kommen. Durch die Installation der gefälschten NPM-Pakete kommt es zur Kompromittierung der Entwicklungsumgebungen, möglichen Hintertüren in Produktivsystemen und Verlust von Geldmitteln.

Mit Smart Contracts für Ethereum holen die Angreifer die Adressen von Command-and-Control-Servern. Das nutzt die dezentrale und unveränderliche Natur der Blockchain aus, wodurch es schwierig sei, die Command-and-Control-Infrastruktur außer Betrieb zu nehmen. Die IT-Sicherheitsforscher konnten Ethereum-Wallet-Adressen ausfindig machen, die im Zusammenhang mit dieser Malware-Kampagne stehen.

Um einen legitimen Anschein zu erwecken, haben sich die Kriminellen an der regulären Namensgebung der Hardhat-Plug-ins orientiert. Socket nennt etwa die Pakete @nomisfoundation/hardhat-configure und @monicfoundation/hardhat-config, die wie originale Hardhat-Plug-ins wirken, aber bösartigen Code enthalten. Auch die Funktionen imitieren die Täter. Während ein legitimes Plug-in etwa hardhat-deploy heißt, lautet der Name eines schädlichen Plug-ins hardhat-deploy-others.

Das redaktionell ausgewählte Programm der secIT 2025 platzt aus allen Nähten: Erstmals finden die Vorträge auf drei Bühnen statt und obendrein gibt es noch etliche Workshops zu aktuellen IT-Security-Themen. Teilnehmer erfahren unter anderem, wie sie Systeme erfolgreich vor gängigen Angriffsmustern absichern. Es gibt aber auch viele essenzielle Tipps, wie sich Unternehmen nach einer bereits erfolgten Attacke am effizientesten aufstellen, damit der Betrieb so schnell wie möglich wieder starten kann.

Anzeige

Den Großteil der Referenten und Themen haben die Redaktionen von c't, heise security und iX ausgewählt. Diese Programmpunkte sind werbefrei und versprechen hilfreiche Fakten, die Admins direkt in ihren Unternehmen für mehr Sicherheit umsetzen können.

Dr. Swantje Westpfahl ist unter anderem NIS2-Expertin und bereichert die secIT 2025 mit einem Workshop zur Thematik. Außerdem nimmt sie an der NIS2-Podiumsdiskussion teil.

Die secIT 2025 startet am 18. März mit mehreren Ganztagsworkshops. Dabei geht es unter anderem um API-Sicherheit, das effiziente Absichern von Active Directory, NIS2 sowie M365 und Entra ID. Am 19. und 20. März gibt es viele Vorträge und Halbtagesworkshops. Die Kongressmesse findet im Hannover Congress Centrum (HCC) statt. Tickets gibt es derzeit noch bis 15. Februar vergünstigt im Onlineshop. Ein Tagesticket kostet 79 statt 99 Euro und für beide Tage sind 119 statt 139 Euro fällig. Im Ticketshop kann man auch die Workshops buchen.

Cyberkriminelle versuchen, Opfern Infostealer unterzuschieben, indem sie diese um Teilnahme an vermeintlichen Beta-Tests von Spielen bitten. Insbesondere auf Discord-Diskussionsservern läuft diese Kampagne derzeit.

Anzeige

In einem Blogbeitrag erklären die Virenanalysten von Malwarebytes, dass die Drahtzieher potenziellen Opfern Direktnachrichten auf Discord senden. Weitere Kanäle sind Textnachrichten und E-Mails. Oftmals käme die Nachricht vom angeblichen Entwickler selbst; das sei eine übliche Methode, um Opfer zu ködern.

Zeigen sich die Angesprochenen interessiert, schicken die Kriminellen einen Downloadlink und ein Passwort für das Archiv, das den Installer enthält. Die Links führen unter anderem zu Dropbox, Catbox und oftmals sogar in das Content-Delivery-Network (CDN) von Discord selbst. Dafür nutzen die Angreifer kompromittierte Zugänge, die für mehr Glaubwürdigkeit sorgen sollen, erörtern die IT-Sicherheitsforscher.

Sie haben die Malware sowohl als NSIS-, als auch als MSI-Installer verpackt beobachtet. Darin finden sich mehrere Varianten, Malwarebytes nennt Nova Stealer, Ageo Stealer oder Hexon Stealer. Die letzten beiden werden als Malware-as-a-Service (MaaS) angeboten, bei denen die Kriminellen die Malware und zugehörige Infrastruktur von anderen Tätern mieten können. Ausgelegt scheint die Malware darauf zu sein, im Webbrowser gespeicherte Zugangsdaten abzugreifen und Session-Cookies für Plattformen wie Discord und Steam sowie Informationen zu Krypto-Wallets zu stehlen.

Sind Webanwendungen nicht ausreichend geschützt, werden sie früher oder später das Ziel von Angriffen und öffnen so die Tür zu sensiblen Daten und internen Unternehmensnetzwerken. Über die häufigsten Sicherheitslücken informiert das Open Web Application Security Project (OWASP®) in seinen Top Ten Web Application Security Risks.

Anzeige

Im iX-Workshop OWASP Top 10®: Kritische Sicherheitsrisiken für Webanwendungen verstehen erklärt und demonstriert Björn Kaidel die Schwachstellen aus der Top-10-Rangliste und ihre Auswirkungen. Sie lernen dabei nicht nur die Risiken kennen, sondern erfahren auch, wie Sie Schwachstellen in der eigenen IT aufspüren und beheben können, um sich so bestmöglich gegen Cyberattacken und Datendiebstahl zu schützen. Es handelt sich um einen Grundlagenworkshop, Vorwissen zum Thema Webanwendungssicherheit wird nicht benötigt.

Sicherheitsexperte Björn Kaidel arbeitet bei der secuvera GmbH in den Bereichen Penetrationstests und Prüfstelle, wo er unter anderem eine Sicherheitsmethodik für einen internationalen Großkunden mitentwickelt und Produktprüfungen durchgeführt hat.

Der Workshop richtet sich an Entwickler, Product Owner, Sicherheitsverantwortliche, Softwarearchitekten und Admins. Ein grundlegendes Verständnis von Webanwendungen sowie Grundkenntnisse in Programmierung und Informationssicherheit werden vorausgesetzt.

Microsofts Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst Entra ID – bisher bekannt als Azure Active Directory – ist als zentraler Bestandteil vieler Unternehmensnetzwerke ein beliebtes Ziel für Ransomware und andere Angriffe.

Anzeige

Im zweitägigen Online-Workshop Angriffe auf und Absicherung von Entra ID erfahren Sie, wie Angreifer Fehlkonfigurationen in Microsofts Identitätsverwaltungsdienst und fehlende Härtungsmaßnahmen erkennen und ausnutzen. Darauf aufbauend zeigt Ihnen Thomas Kudlacek, wie Sie Ihre Entra ID-Umgebung inklusive der Azure-Dienste effektiv absichern und gibt Ihnen Empfehlungen. Mit den Unterlagen, die Sie in dieser Schulung erhalten, können Sie im Anschluss selbstständig üben.

Der nächste Workshop findet vom 27. bis 28. Februar 2025 statt und richtet sich an Kolleginnen und Kollegen aus den Bereichen Administration, IT-Leitung und IT-Sicherheit. Thomas Kudlacek ist Cyber Security Specialist bei der Cyber Security Academy von Oneconsult. Zuvor war er als Penetrationstester für einen internationalen Dienstleister tätig.

Wie das Fraunhofer-Institut für Arbeitswirtschaft und Organisation (IAO) in Stuttgart jetzt mitteilte, wurde es am 27. Dezember Ziel eines Ransomware-Angriffs. Der Angriff hat demnach zu einer Beeinträchtigung bestimmter Systeme und Daten geführt. Der genaue Umfang des Schadens lasse sich aktuell noch nicht bestimmen.

Anzeige

Nach aktuellen Erkenntnissen handele es sich um einen lokalen Vorfall, der allein das IAO betrifft, heißt es in einer Pressemitteilung. Das Institut arbeite eng mit IT-Sicherheitsexpertinnen und -experten und den zuständigen Ermittlungsbehörden zusammen, um den Vorfall vollständig zu analysieren und geeignete Maßnahmen zu ergreifen. Entsprechend wurden Vorkehrungen zur maximalen Begrenzung weiterer Schäden getroffen.

Es könne nicht ausgeschlossen werden, dass es zu einer unzulässigen Offenlegung personenbezogener Daten gegenüber Dritten gekommen sein könnte. Das Fraunhofer IAO verarbeite personenbezogene Forschungsdaten grundsätzlich in einer Form, die keine direkten Rückschlüsse auf natürliche Personen zulässt.

Dennoch kann nicht völlig ausgeschlossen werden, dass im Einzelfall Betroffenen Nachteile aus einer ungewollten Veröffentlichung entstehen könnten. Fraunhofer überwacht die Entwicklung engmaschig und will Betroffene bei entsprechender Indikation informieren. Ebenso seien die bayerische Datenschutzbehörde entsprechend rechtlicher Vorgaben informiert worden, sowie wie Sicherheits- und Polizeibehörden. Auch einen Teil der Kooperationspartner habe das IAO über den Vorfall informiert. Aus ermittlungstaktischen Gründen könnten zum aktuellen Zeitpunkt keine weiteren Details zu dem Vorfall bekannt gegeben werden.

Hacken wie die Hacker: Im iX-Workshop Sich selbst hacken - Pentesting mit Open-Source-Werkzeugen lernen Sie, wie Angreifer vorgehen, um Fehlkonfigurationen und andere Schwachstellen in der Unternehmens-IT aufzuspüren und auszunutzen. Mit den gewonnenen Erkenntnissen fällt es Ihnen leichter, Ihre eigenen Systeme effektiv abzusichern.

Anzeige

Unter dem Stichwort OSINT (Open Source Intelligence) lernen Sie zunächst jene Techniken kennen, mit deren Hilfe sich öffentlich verfügbare Informationen über eine Organisation oder ein Unternehmen sammeln und auswerten lassen - und damit auch mögliche Hintertüren ins System, wie etwa kompromittierte Passwörter. Mit verschiedenen frei verfügbaren Open Source-Werkzeugen und Audit-Tools können im nächsten Schritt Untersuchungen auf Netzwerkebene durchgeführt, Web-Applikationen überprüft oder auch Möglichkeiten der Privilegien-Eskalation unter Windows und Linux aufgedeckt werden.

Ein Schwerpunkt des Workshops liegt auf der Überprüfung von Microsofts zentralem Verzeichnisdienst Active Directory, da dieser ein beliebtes Angriffsziel für Hacker ist. Erfahren Sie, wie Sie Schwachstellen in diesem zentralen Element der Unternehmens-IT aufdecken und gezielt beheben können. Ebenso kommen Maßnahmen wie die Implementierung einer Mehr-Faktor-Authentifizierung und die differenzierte Vergabe von Berechtigungen zur Sprache, um Ihre IT-Systeme effektiv abzusichern.

Als Referent steht Ihnen Philipp Löw, erfahrener Pentester bei der Oneconsult Deutschland AG, zur Verfügung. Profitieren Sie in diesem spannenden Workshop, von seinem Fachwissen und seinen praktischen Erfahrungen.

Zahlreiche Entwickler von Erweiterungen für den Google Chrome Browser wurden über Weihnachten Opfer eines Phishing-Angriffes – mit drastischen Konsequenzen: Unbewusst gewährten sie den Tätern Zugriff auf den im Chrome Web Store hinterlegten Quellcode ihrer Anwendungen. Die Cyberkriminellen nutzten das, um neue, schädliche Versionen der Chrome-Extensions zu hinterlegen. So erhielten sie Zugriff auf sensible Nutzerdaten auf rund 2,6 Millionen Geräten.

Anzeige

Insgesamt sind laut einer Analyse der IT-Sicherheitsberatung Annex mindestens 29 Chrome-Erweiterungen betroffen. Die Tech-Nachrichtenseite Ars Technica spricht sogar von 33 betroffenen Erweiterungen. Jedoch ist es durchaus möglich, diese Zahlen (Stand: 3. Januar 2025) nochmal nach oben korrigieren – angesichts des Ausmaßes und der Dauer der Phishing-Kampagne, welche dahintersteckt. Als Sicherheitsexperten einem erfolgreichen Phishing-Angriff auf einen Entwickler der Extension "Cyberhaven" auf den Grund gingen, kamen ArsTechnica und Annex zufolge auch zahlreiche weitere Kompromittierungen von Chrome-Extensions ans Licht.

Wie Cyberhaven mitteilt, versuchten die Angreifer, Login-Daten für SSocial-Media-Accountsund KI-Anwendungen abzugreifen. Laut der IT-Sicherheitsberatung Annex soll die Cyberhaven-Version der Angreifer auf Login-Daten für ChatGPT abgezielt haben, offenbar aber erfolglos. Cyberhaven rät Nutzern dringend, die Passwörter aller Facebook-Accounts, welche auf betroffenen Geräten genutzt wurden, zu ändern. Zudem sollten Nutzer prüfen, ob die schädliche Version noch verwendet wird und diese gegebenenfalls aktualisieren.

Im Fall von Cyberhaven fiel ein Mitarbeiter auf eine falsche Mail rein, in der sich die Angreifer als Google-Vertreter ausgaben. In der Folge ermöglichte er es den Tätern unbewusst, eine neue, schädliche Version der Cyberhaven-Erweiterung im Chrome Web Store zu hinterlegen. Die Cyberhaven-Erweiterung soll ihre Nutzer davor schützen, unabsichtlich sensible Daten in E-Mails oder auf Websites preiszugeben.

Sie planen, ein Information Security Management System (ISMS) gemäß ISO 27001 einzuführen? In unserem interaktiven iX-Workshop IT-Sicherheit nach ISO 27001 umsetzen erhalten Sie eine fundierte Einführung in die Grundlagen der internationalen Norm für Informationssicherheit und profitieren von Best Practices und Lösungsansätzen für die erfolgreiche Umsetzung in Ihrem Unternehmen.

Anzeige

Trainer dieser Schulung sind Sicherheitsexperten der secuvera GmbH: Ann-Kathrin Udvary - leitende Cybersicherheitsberaterin und Viktor Rechel - leitender Cybersicherheitsberater. An zwei Vormittagen begleiten Sie unsere Trainer durch den Workshop, machen Sie mit grundlegenden Tätigkeiten, aber auch typischen Fallstricken vertraut und stellen Ihnen wichtige Meilensteine der Projektplanung vor. Die Inhalte des Workshops werden durch Gruppenarbeiten und Diskussionen veranschaulicht und vertieft, um einen praxisnahen Lernansatz zu gewährleisten.

Der nächste Workshop findet am 28. und 29. Januar 2025 statt und richtet sich an Informationssicherheitsbeauftragte, IT-Mitarbeitende und Führungskräfte, die einen fundierten Einblick in das Thema erhalten möchten.

Wenn IBM Db2 oder Db2 Warehouse auf der Datei- und KI-Plattform Cloud Pak for Data laufen, können Angreifer an insgesamt 35 Sicherheitslücken ansetzen und im schlimmsten Fall Schadcode ausführen. Eine dagegen abgesicherte Version ist verfügbar.

Anzeige

In einem Beitrag führen die Entwickler aus, die Schwachstellen in der Ausgabe 5.1.0 geschlossen zu haben. Drei Lücken (CVE-2024-41110, CVE-2022-0759, CVE-2024-27281) sind mit dem Bedrohungsgrad "kritisch" eingestuft. A diesen Stellen können sich Angreifer als Man-in-the-Middle einklinken, die Authentifizierung umgehen oder sogar Schadcode ausführen. Kommt es zu letzterem, gelten Systeme in der Regel als vollständig kompromittiert.

Die Schwachstellen betreffen Komponenten wie glibc, GNU C Library und Java SE. Admins sollten sicherstellen, dass die gegen die geschilderten Attacken geschützte Version installiert ist. Bislang gibt es noch keine Berichte zu laufenden Attacken. Leider stellt IBM keine Informationen bereit, wie man bereits angegriffene Systeme erkennen kann.