Comretix Blog

Sicherheitsmängel begleiten die elektronische Patientenakte (ePA) nicht erst mit ihrer Einführung im Jahr 2020. Seit 2012 berichten Sicherheitsexperten immer wieder über Mängel bei der Sicherheit, jetzt auch für die ePA, die jetzt für alle automatisch kommt – es sei denn, sie widersprechen. Stets betonen die Verantwortlichen, dass die ePA absolut sicher sei. Doch die "ePA für alle" kann dieses Versprechen nicht einhalten.

Anzeige

Das zeigten Martin Tschirsich und Bianca Kastl auf dem 38. Chaos Communication Congress in Hamburg. Es gelang ihnen ohne Umstände, sich Zugang zur "ePA für alle" zu verschaffen. Dies war unter anderem aufgrund von Mängeln in den Spezifikationen möglich. So konnten sie die Zugriffstoken für Akten beliebiger Versicherter erstellen – ohne Stecken der elektronischen Gesundheitskarte.

Ein "Dauerbrenner" und zentraler Punkt ist dabei die unkontrollierte Ausgabe von Gesundheitskarten. Die Forscher konnten durch simple Telefonanrufe bei Krankenkassen elektronische Gesundheitskarten auf fremde Namen bestellen. Der zeitliche Aufwand für diese Angriffe ist erstaunlich gering: Die Bestellung einer fremden Gesundheitskarte konnte in 10 bis 20 Minuten erreicht werden. Praxiszugänge ließen sich ebenfalls innerhalb weniger Stunden bis Tage erlangen. Grund dafür sind Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie dem Umgang mit den Ausweisen "in der Praxis".

Die auf den Chipkarten gespeicherten kryptografischen Identitäten sollen die Sicherheit des Zugangs zu den elektronischen Patientenakten gewährleisten. "Diese werden allerdings nicht herangezogen, um die Echtheit der Karte nachzuweisen. Somit lässt sich die Anwesenheit einer beliebigen Karte vortäuschen", erklärt Tschirsich gegenüber heise online.

Ein Tochterunternehmen des Volkswagen-Konzerns hat teils extrem detaillierte Bewegungsdaten von 800.000 Elektroautos so in der Amazon-Cloud abgelegt, wo Nachrichtendienste, Konkurrenten, Kriminelle oder "gelangweilte Teenager" ohne große Schwierigkeiten darauf hätten zugreifen können. Das berichtet Spiegel Online unter Berufung auf eine Recherche in Zusammenarbeit mit dem Chaos Computer Club (CCC). Entdeckt hat die Daten demnach ein anonymer Hinweisgeber, überprüft wurden sie demnach unter anderem anhand der Daten einer niedersächsischen Landtagsabgeordneten und eines Bundestagsabgeordneten.

Anzeige

Gesammelt wurden die Daten demnach von der VW-Tochter Cariad, die für die Softwareentwicklung des Autokonzerns zuständig ist. Wegen einer "Fehlkonfiguration" seien die Daten nicht ausreichend gesichert worden. Laut Spiegel Online handelt es sich um mehrere Terabyte an Standortdaten von Fahrzeugen der Marken VW, Seat, Audi und Skoda. Gesammelt wurden die von der Volkswagen-App, über die verschiedene Informationen zum Zustand der Fahrzeuge abrufen lassen. Zu 460.000 Fahrzeugen seien die entdeckten Daten so präzise, dass sie Rückschlüsse auf das Leben der Menschen hinter dem Steuer zulassen. So seien die Geodaten bei VW- und Seat-Modellen auf zehn Zentimeter genau.

Laut der Recherche konnten die Daten teilweise mit persönlichen Profilen von Fahrzeughaltern und -halterinnen verknüpft werden. Teils hätten die detaillierten Bewegungsdaten gar mit Adressen und Handynummern zusammengeführt werden können. CCC-Sprecher Linus Neumann spricht von einem "riesigen Schlüsselbund, der unter einer viel zu kleinen Fußmatte lag". Cariad habe erklärt, dass die Daten gesammelt worden seien, "um Batterien und die dazugehörige Software zu verbessern". Die beschriebene Zusammenführung sei niemals so vorgenommen worden, "dass ein Rückschluss auf einzelne Personen möglich ist oder Bewegungsprofile erstellt werden".

Nachdem der CCC auf die zugängliche Datensammlung aufmerksam gemacht worden war, seien unter anderem Cariad und die VW-Konzernzentrale informiert worden. Die Konzerntochter habe binnen weniger Stunden reagiert und gar nicht erst versucht, das Ausmaß des Vorfalls kleinzureden. Mittlerweile sei die Lücke auch gestopft, auf die Daten könnten Unbefugte nicht mehr zugreifen. Bei der "Fehlkonfiguration" handelte es sich dem Bericht zufolge um die Kopie des jeweils aktuellen Speicherauszugs einer Anwendung von Cariad. Darin lagen die Zugangsdaten zum Cloudspeicher bei Amazon, wo sich die Bewegungsdaten befanden.

Derzeit schwemmt eine perfide Phishing-Welle betrügerische E-Mails in die Posteingänge insbesondere von Telekom-Kunden. Sie sind optisch sehr überzeugend aufgemacht, auch die Texte sind weitgehend korrekt und weisen auf den ersten Blick keine groben Fehler auf.

Anzeige

Die Adressen sind erst beim genaueren Hinschauen etwa als unwahrscheinlicher Absender zu erkennen. Die Optik imitiert die der Telekom sehr überzeugend.

(Bild: SCreenshot / dmk)

Auf den ersten Blick wirken die E-Mails sehr überzeugend. Als Absender ist eine t-online.de-Mail-Adresse angegeben, die sich beim genaueren Hinsehen als Endkunden- anstatt Unternehmensadresse entpuppt. Die Optik imitiert recht überzeugend die der Telekom-Magenta-Marke.

Die Vorweihnachtszeit ist vorbei und das Jahr 2024 neigt sich dem Ende entgegen. In dem haben sich die Entwicklungen im KI-Bereich etwas verlangsamt, stand der Sport im Fokus und sorgte unsere Sonne mit beeindruckenden Polarlichtern für das ein oder andere Himmelsschauspiel. In unserem Haus war das Jahr ein besonderes, immerhin konnte heise seinen 75. Geburtstag feiern – und ist Trikotsponsor. Jetzt sind hoffentlich alle Geschenke besorgt und ruhigen, besinnlichen Feiertagen steht nichts mehr im Weg. Für viele wird es sicher die Zeit, um sich etwas auszuklinken und in Ruhe Kraft für das kommende Jahr zu sammeln. Das wird sicher wieder nicht arm an Nachrichten, beginnt es doch direkt mit der vorgezogenen Bundestagswahl.

Anzeige

Wir hoffen, Sie können die kommenden Tage nutzen, um ein gutes Buch, ein lehrreiches Spiel, einen prämierten Film oder eine herausragende Serie nachzuholen. Wenn nicht, wünschen wir genügend Zeit für Ihre Alternative. Egal, was Sie machen und wie Sie die Tage feiern, haben Sie dabei viel Spaß, Erholung und gegebenenfalls auch viel Erfolg. Unseren jüdischen Mitmenschen wünschen wir natürlich Chanukka sameach. Sollten Sie jedoch arbeiten, sagen wir einfach einmal Danke und wünschen dabei möglichst wenige Notfälle und keinen Stress.

Das gesamte Team von heise online und den Redaktionen von c't, iX, Mac & i, c't Fotografie, Make, Bestenlisten by Techstage und Telepolis sowie heise Security, heise Developer und heise Autos wünscht ein frohes Fest. Mögen Sie ruhige Stunden oder Tage verbringen und sich dabei ausruhen können. Mögen Sie auch die Zeit und Muße haben, um auf die vergangenen Monate zurückblicken und sich auf das Kommende vorbereiten zu können. Allen Erschöpften wünschen wir Kraft, allen Ängstlichen Mut, allen auf der Flucht eine sichere Bleibe, allen Frierenden Wärme sowie natürlich allen hier und anderswo Frieden.

Natürlich wird die Welt aber in den kommenden Tagen bis zum Jahreswechsel nicht stillstehen, das gilt genauso für die IT-Welt. Deswegen werden wir Sie auch an den Feiertagen und zwischen den Jahren mit aktuellen Meldungen und dem Wichtigsten versorgen. Vorhersagbar interessant wird es vom 27. bis 30. Dezember auf dem 38. Chaos Communication Congress, von dem wir natürlich berichten. Denen, die trotzdem bis 2025 nicht mehr hier vorbeischauen, wünschen wir aber an dieser Stelle schon einmal einen guten Rutsch und ein friedliches, glückliches, erfolgreiches und gesundes neues Jahr. Wir freuen uns darauf, Sie auch weiterhin mit den wichtigsten News zu versorgen.

Die Webbrowser Chrome und Edge sollen auf KI-Basis mittels Large Language Model (LLM) und Machine Learning noch effektiver vor Phishingwebsites warnen. Wie erste Sichtungen zeigen, sind diese Features aber bisher nicht standardmäßig verfügbar beziehungsweise aktiv.

Anzeige

Auf diese Funktionen sind unter anderem Nutzer auf X gestoßen. Für Chrome ist das Scam-Detection-Feature aber bislang nur in der Vorabversion im Canary-Zweig verfügbar und dort offensichtlich nicht standardmäßig aktiv. Über chrome://flags kann man es aber aktivieren.

Der Beschreibung zufolge findet die Erkennung clientseitig statt. Dabei werden Websites via LLM untersucht, um so Fake-Websites zu erkennen, die etwa in Microsoft-Anmutung Zugangsdaten abfischen wollen.

Wie die Erkennung im Detail funktioniert und wie die neue Funktion Nutzer warnt, ist bislang nicht bekannt. Unklar bleibt auch, wann das Feature in die Stable-Version von Chrome Einzug hält.

Bestellungen umleiten und Preise ändern: Ein Sicherheitsforscher ist auf viele Fehler in McDonald's-Bestellsystem McDelivery in Indien gestoßen und hätte jedes Produkt für 1 Cent bestellen können.

Anzeige

Aufgrund von Broken-Object-Level-Authorization-(BOLA)- und Broken-Object-Property-Level-Authorization-Schwachstellen konnte ein Sicherheitsforscher an der API des Lieferservices ansetzen und manipulierend eingreifen. Solche Schwachstellen erlauben es Angreifern aufgrund einer fehlenden Autorisierung, nicht für sie vorgesehene Daten einzusehen.

So konnte er seinem Bericht zufolge durch das simple Anpassen von IDs fremde Bestellungen einsehen und sogar eigene Bestellungen aufgeben und manipulieren. Dabei stieß er unter anderem auf eine API zum Erzeugen von Rechnungen und konnte die Preise anpassen. Er gibt an, so 100 Kartoffelpuffer (Hash Brown) für 1 Cent bestellt zu haben. Die Bestellung ging durch. Um Missverständnissen vorzubeugen, hat er sie umgehend storniert. Außerdem führt der Sicherheitsforscher aus, dass man mit dem richtigen Timing bereits getätigte Bestellungen hätte umleiten können. So würde man ein Menü erhalten, das ein anderer bezahlt hat.

Er versichert, dass davon ausschließlich der Online-Bestellservice von McDonald's in Indien betroffen war. Mittlerweile wurden die Sicherheitsprobleme gelöst und der Sicherheitsforscher erhielt als Belohnung einen Amazon-Gutschein im Wert von 240 US-Dollar. Sein Vorschlag, aufgrund der Schwere der Schwachstellen eine Gold Card zum lebenslangen gratis Essen bei McDonald's USA springen zu lassen, wurde abgelehnt.

Angreifer können Sophos-Firewalls ins Visier nehmen und Geräte nach dem Ausführen von Schadcode kompromittieren. Das Unternehmen gibt an, dass davon aber nur ein Bruchteil der Kunden bedroht ist.

Anzeige

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler insgesamt drei Sicherheitslücken (CVE-2024-12727 "kritisch", CVE-2024-12728 "kritisch", CVE-2024-12729 "hoch") geschlossen. Für die erste Schwachstelle sind Sophos zufolge ausschließlich Geräte anfällig, wenn eine spezielle Konfiguration von Secure PDF Xchange (SPX) aktiv ist. Außerdem muss die Firewall im High-Availability (HA)-Modus laufen. Das sei nur bei etwa 0,05 Prozent der Geräte der Fall. Sind die Voraussetzungen erfüllt, können Angreifer aus der Ferne Schadcode ausführen.

Die zweite Lücke ist nur bedrohlich, wenn SSH und HA aktiv sind. Das sei bei rund 0,5 Prozent der Geräte der Fall. Dann könnten Angreifer unter Umständen auf einen Nutzeraccount mit hohen Rechten zugreifen. Über die dritte Lücke kann Schadcode auf Geräte gelangen. Dafür muss ein Angreifer aber authentifiziert sein.

Gefährdet sind Firewalls bis inklusive v21.0 GA. Sophos gibt an, erste Hotfixes Ende November 2024 veröffentlicht zu haben. Standardmäßig sind die Firewalls so eingestellt, dass diese sich automatisch installieren. In einem Beitrag führen die Entwickler aus, wie Admins prüfen können, ob die Hotfixes bereits installiert sind.

Einen weiteren Erfolg im Kampf gegen die Ransomware-Bande LockBit hat das US-Justizministerium am Freitag verkündet. Es hat demnach den russisch-israelischen Staatsbürger Rostislaw P. jüngst in Gewahrsam nehmen lassen können und jetzt wegen seiner mutmaßlichen Rolle als einer der maßgeblichen Software-Entwickler der Cybergang angeklagt. US-Strafverfolger werfen ihm vor, Schadsoftware entwickelt und die Infrastruktur für Angriffe gewartet zu haben. Darüber seien mehr als 500 Millionen US-Dollar erpresst und weltweit Schäden in Milliardenhöhe verursacht worden.

Anzeige

Eine einschlägige im Bundesbezirk New Jersey eingereichte Strafanzeige sei am Freitag freigegeben worden, teilte das Justizressort mit. Schon im August sei P. in Israel aufgrund eines vorläufigen US-Haftersuchens mit dem Ziel der Auslieferung an die Vereinigten Staaten festgenommen worden. Der 51-Jährige befinde sich derzeit noch in Israel in Haft und warte auf seine Auslieferung aufgrund der Anklagepunkte.

Laut der Klageschrift, den in diesem und verwandten Fällen eingereichten Dokumenten und den vor Gericht abgegebenen Aussagen fungierte P. von der Gründung der LockBit-Gruppe 2019 bis mindestens Februar 2024 als Entwickler. In dieser Zeit bauten P. und seine "Mitverschwörer" ihre Bande "zu der zeitweise aktivsten und zerstörerischsten Ransomware-Gruppe der Welt aus", schreiben die US-Strafverfolger. Diese habe über 2500 Opfer in mindestens 120 Ländern angegriffen, darunter 1800 in den Vereinigten Staaten. Darunter seien Privatpersonen und kleine Unternehmen ebenso gewesen wie multinationale Konzerne, Krankenhäuser, Schulen, gemeinnützige Organisationen, kritische Infrastrukturen sowie Regierungs- und Strafverfolgungsbehörden.

Ermittler entdeckten laut der Anklage zum Zeitpunkt der Verhaftung von P. auf dessen Computer Administratoranmeldeinformationen für eine Online-Datenbank, die im Darknet gehostet worden sei und Quellcode für mehrere Versionen des LockBit-Builders zum Erstellen von Varianten des Erpressungstrojaners enthielt. In einem der Verzeichnisse fanden die Strafverfolger auch Quellcode für LockBits StealBit-Tool, mit dem "Affiliates" gestohlene Daten exfiltrieren konnten.

Künstliche Intelligenz hilft der Juristerei, schneller und effizienter zu arbeiten. Das berichtet der Berliner Rechtsanwalt und Strafverteidiger Florian Schoenrock im Gespräch mit dem Podcast heise meets. Schoenrock ist einer der ersten Anwälte in Deutschland, der zugibt, KI regelmäßig in seiner täglichen Arbeit einzusetzen.

Anzeige

"Ob ich einer der ersten Anwälte bin, der künstliche Intelligenz im Alltag einsetzt, das weiß ich nicht. Ich bin auf jeden Fall einer, der es gerne macht", sagt Schoenrock. Seit Anfang 2023 nutzt er KI-Tools, um seine Arbeit zu erleichtern. Damit spare er täglich zwischen 30 und 60 Minuten Zeit ein.

Admins, die Netzwerke mit Fortinet Wireless Manager (FortiWLM) verwalten, sollten sicherstellen, dass ihre Instanzen aktuell und somit gegen mögliche Attacken abgesichert sind. Ein Sicherheitsforscher von Horizon3 hat bereits im Mai 2023 eine Sicherheitslücke an Fortinet gemeldet. Der Sicherheitspatch erschien dann im September 2023. Doch Informationen, dass es den Patch und die Lücke überhaupt gibt, sind erst jetzt bekanntgeworden.

Anzeige

In einem Beitrag aus März dieses Jahres schreibt der Sicherheitsforscher unter anderem über die "kritische" Lücke (CVE-2023-34990). Zu diesem Zeitpunkt gab es aber noch keine CVE-Nummer.

Weil Eingaben nicht ausreichend überprüft werden, können Angreifer ohne Authentifizierung mit bestimmten Anfragen an der Schwachstelle ansetzen. Klappt so eine Attacke, sind Logs einsehbar, die Admin-Session-IDs enthalten können. Damit ausgestattet sind Angreifer in der Lage, die volle Kontrolle über Geräte zu erlangen.

In einer Warnmeldung gibt Fortinet nun an, dass davon die Versionen 8.5.0 bis einschließlich 8.5.4 und 8.6.0 bis einschließlich 8.6.5 bedroht sind. Sie versichern, die im September 2023 erschienenen Ausgaben 8.5.5 und 8.6.6 abgesichert zu haben.

Microsoft bemüht sich redlich, die Sicherheit der Betriebssysteme zu verbessern. Kürzlich hat das Unternehmen einen besseren Schutz vor NTLM-Relay-Angriffen umgesetzt. Weitgehend unbeachtet blieb jedoch eine Schutzmaßnahme: Die Unterstützung für NTLMv1 wurde aus Windows 11 mit dem 24H2-Update entfernt.

Anzeige

Auf Nachfrage von heise online hat Microsoft nun etwa die Liste der entfernten Funktionen aus Windows aktualisiert. Denn nicht nur im Windows-Desktop-Client, sondern auch dem Windows Server 2025 hat Microsoft den Support für das veraltete Protokoll entfernt. Auch in der Liste der entfernten Funktionen zum Windows Server 2025 ist nun ein entsprechender Eintrag ergänzt worden.

Da die Redmonder bislang lediglich offiziell die Entfernung aus Windows 11 beschrieben hat, haben wir das Unternehmen zum Status beim Windows Server 2025 befragt. "NTLMv1 wurde sowohl aus Server 2025 als auch Windows 11 Version 24H2 entfernt. Mehr Details finden sich auf den aktualisierten Webseiten auf Englisch", antwortete Microsoft am Freitag dieser Woche. "Wir arbeiten daran, die Dokumentation in den anderen Sprachen zu aktualisieren, um diese Updates widerzuspiegeln", führte das Unternehmen weiter aus.

Der Eintrag von Windows Server 2025 zum entfernten NTLMv1 gibt Admins noch eine Empfehlung mit: "NTLMv1 wurde entfernt. Aufrufe an NTLM sollten durch Aufrufe an Negotiate ersetzt werden, die zuerst versuchen, sich mit Kerberos zu authentifizieren und nur auf NTLM zurückfällt, wenn das nötig ist. Weitere Informationen liefert der Artikel Evolution of Windows Authentication".

Cyberattacke oder IT-Störung? Die Ransomwaregang BlackBasta gibt an, Zugriff auf interne Daten des Anbieters Medion gehabt zu haben. Das Unternehmen hat das bislang nicht bestätigt.

Anzeige

Ende November 2024 kam es bei Medion zu Störungen. Unter anderem war die Website nicht erreichbar und es gab Probleme mit E-Mails und Telefonen. Davon sollen interne Systeme und der Onlineshop betroffen gewesen sein. Auf der mittlerweile wieder aufrufbaren Internetseite werden nicht näher ausgeführte IT-Störungen als Grund angegeben. Am 28. November war dort noch die Rede von einem durch externe Angreifer ausgelösten IT-Vorfall. Die Antwort auf eine Anfrage von heise Security steht derzeit noch aus.

Screenshot vom Leakingportal von BlackBasta: Bislang hat Medion keine Cyberattacke bestätigt.

Nun mehren sich die Hinweise auf eine Cyberattacke: Die Kriminellen des Erpressungstrojaners BlackBasta geben an, Medion erfolgreich attackiert und 1,5 Terabyte an Daten kopiert zu haben. Darunter sollen sich unter anderem vertrauliche Geschäftsdaten und Informationen zu Angestellten befinden.

Angreifer können die Fernzugriffssoftwares Privileged Remote Access (PRA) und Remote Support (RS) von BeyondTrust attackieren und eigene Befehle im zugrundeliegenden Betriebssystem ausführen.

Anzeige

Aufgrund der "kritischen" Einstufung der Sicherheitslücke (CVE-2024-12356) ist davon auszugehen, dass Systeme nach erfolgreichen Attacken als vollständig kompromittiert gelten. Angriffe sollen einer Warnmeldung zufolge aus der Ferne und ohne Authentifizierung möglich sein.

Das Einleiten von Attacken soll über bestimmte Clientanfragen möglich sein. Wie das im Detail aussehen könnte, geht aus der Meldung nicht hervor. Bislang gibt es noch keine Meldungen zu laufenden Attacken.

Die Entwickler versichern, die Lücke in den Ausgaben PRA patch BT24-10-ONPREM1 oder BT24-10-ONPREM2 und RS patch BT24-10-ONPREM1 oder BT24-10-ONPREM2 geschlossen zu haben. Wer noch eine Version vor 22.1 nutzt, muss ein Upgrade durchführen, um das Sicherheitsupdate zu bekommen. Cloudinstanzen wurden BeyondTrust zufolge bereits automatisch auf den aktuellen Stand gebracht.

Hohe Bankspesen veranlassen einen ausländischen Lieferanten dazu, das Geldinstitut zu wechseln. Er informiert seinen Kunden per E-Mail über die neue Bankverbindung, der daraufhin vier Überweisungen zu insgesamt 85.000 Euro auf das neue Konto veranlasst. Leider ist der angebliche Bankwechsel ein Trick eines Betrügers, der den Exchange-Server des Lieferanten geknackt und dann darüber E-Mails unter Missbrauch eines bekannten Absendernamens verschickt hat. Da die Banken das Geld nicht zurückholen können, wendet sich der entreicherte Zahler an seine Cyberversicherung, die er sowohl für Netzwerksicherheitsverletzungen als auch Täuschungsschäden abgeschlossen hat. Doch die Versicherung zahlt nicht.

Anzeige

Zu Recht, wie aus einer nun bekannt gewordenen Entscheidung des Landgerichts Hagen hervorgeht (Az. 9 O 258/23). Denn der beim Versicherungsnehmer eingetretene Schaden ist gar kein Versicherungsfall.

Das kommt so: Die Versicherungsbedingungen definieren Netzwerksicherheitsverletzungen als "Beeinträchtigungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse des Versicherungsnehmers." Die Täter haben allerdings beim Versicherten nichts kompromittiert, sondern den Exchange-Server eines Dritten, nämlich des Lieferanten. Zusätzlich enthalten die Versicherungsbedingungen Beispiele dafür, wann keine versicherte Netzwerksicherheitsverletzung vorliegt, darunter "Beeinträchtigungen ... in Netzwerken Dritter", selbst wenn die Auswirkungen auch beim Versicherungsnehmer auftreten, sowie "fake president Angriffe mittels nachgebildeter E-Mail-Adresse" ohne Eingriff in das Netz des Versicherungsnehmers.

"Aus diesen Regelbeispielen kann ein durchschnittlicher und verständiger Versicherungsnehmer erkennen, dass der vorliegende Fall, der zu den eben genannten Regelbeispielen Ähnlichkeiten aufweist, nicht zu den versicherten Risiken zählt", erläutert das Gericht. "Voraussetzung des Versicherungsschutzes bleibt eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer selbst, die nicht vorliegt."

Sicherheitsforscher von CheckPoint berichten, dass Cyberkriminelle verstärkt Google-Kalender-Einladungen nutzen, um Internetnutzer auf Phishingseiten zu locken: Allein über einen Zeitraum von vier Wochen gingen demnach etwa 4000 solcher Einladungen bei Mitarbeitern von rund 300 Unternehmen ein. Laut dem Start-up Calendly nutzen etwa 500 Millionen Internetnutzer Google Kalender, zudem ist dieser in 41 Sprachen verfügbar. Die Zahl der potenziellen Opfer ist dementsprechend hoch.

Anzeige

Die Angreifer modifizieren die E-Mail-Header, sodass die Phishing-Mails wie Google-Kalender-Invites von Personen wirken, die den Empfängern bekannt sind. Die Mails enthalten meist eine für Kalender-Einladungen typische .ics-Kalenderdatei mit einem Link zu einem Google-Fomular. Wenn man den Link klickt, landet man bei einer Aufforderung zum Klicken eines weiteren. Dieser zweite Phishing-Link ist allerdings als Support-Button oder reCAPTCHA getarnt. Wer darauf hereinfällt, landet schließlich auf einer Phishing-Webseite, die aussieht wie eine Bitcoin-Support- oder -Mining-Webseite, die im Rahmen eines Authentifizierungsvorgangs persönliche Daten und schließlich Zahlungsinformationen abfragt. Wer dabei immer noch nicht stutzig wird, spielt den Angreifern in die Hände.

Zum Schutz gegen derartige Phishing-Versuche empfiehlt Google, die Einstellung "bekannte Absender" zu aktivieren. Dann weist das Kalender-Tool auf Einladungen von fremden Personen hin, die nicht in der Kontaktliste stehen oder mit denen zuvor kein Mail-Kontakt bestand.

Die Verfasser des Checkpoint-Blogposts benennen neben der Empfehlung Googles noch weitere Maßnahmen, um sich vor solchen Betrugsversuchen zu schützen: Unübliche Anforderungen wie das Lösen eines reCAPTCHA seien starke Hinweise darauf, dass etwas mit einer Einladung nicht stimme. Außerdem empfehlen sie, Links nicht blind zu klicken, sondern sich die Link-Vorschau anzusehen und die in einer Mail benannte URL gegebenenfalls selbst im Browser aufzurufen.

Apex One und Apex One as a Service von Trend Micro sind unter Windows verwundbar. Eigentlich soll die Sicherheitslösung Computer schützen, nun können Angreifer aber an sechs Schwachstellen ansetzen und Systeme attackieren.

Anzeige

In einem Beitrag listen die Entwickler die gepatchten Versionen Apex One SP1 build 13140 und Apex One as a Service December 2024 Monthly Maintenance (202412) Agent version 14.0.14203 auf. Die darin geschlossenen Sicherheitslücken (CVE-2024-52048, CVE-2024-52049, CVE-2024-52050, CVE-2024-55631, CVE-2024-55632, CVE-2024-55917) sind mit dem Bedrohungsgrad "hoch" eingestuft.

Als Voraussetzungen für Attacken müssen Angreifer physisch oder aus der Ferne auf PCs zugreifen können und in der Lage sein, Code mit niedrigen Benutzerrechten auszuführen. Sind diese Bedingungen erfüllt, können sich Angreifer höhere Nutzerrechte aneignen. Detaillierte Angaben zu Abläufen solcher Attacken gibt es bislang nicht. Unbekannt ist auch, ob es bereits Attacken gibt und woran Admins attackierte Computer erkennen können.

Angreifer können Systeme, auf denen Foxit PDF Editor oder Reader installiert ist, aufgrund von Schwachstellen in der Software attackieren. Für eine erfolgreiche Attacke müssen Opfer aber mit Schadcode versehene PDF-Dateien öffnen.

Anzeige

Aus dem Sicherheitsbereich der Foxit-Website geht hervor, dass PDF-Dateien mit interaktiven Formularen nach dem XML-Forms-Architecture-Standard (XFA) manipuliert werden können. Wie das im Detail vonstattengehen kann, ist derzeit nicht bekannt.

Bringen Angreifer Opfer dazu, solch eine Datei zu öffnen, führt die Verarbeitung der XFA-Elemente zu Fehlern und Angreifer können unter anderem im System eigene Befehle ausführen. Im Rahmen dieser Problematik nennen die Entwickler keine CVE-Nummern. Demzufolge ist eine standardisierte Einstufung der Gefahr derzeit nicht möglich.

Weiterhin sind Manipulationen von PDF-Formularen mit AcroForms-Elementen vorstellbar. Das Öffnen einer solchen Datei führt zu Speicherfehlern und Abstürzen. In der Regel kann es in so einem Fall auch zur Ausführung von Schadcode kommen. Die Einstufung des Bedrohungsgrads der Lücken (CVE-2024-49576, CVE-2024-47810) steht zurzeit noch aus.