Comretix Blog

Obwohl seit dem 18. November ein größeres PostgreSQL-Sicherheitsproblem bekannt ist, spielt GitLab die entsprechenden Patches nicht ein. Eine der Lücken erlaubt es unprivilegierten Angreifern, willkürlich Code in der Datenbank auszuführen.

Anzeige

Postgres stuft dieses Sicherheitsloch CVE-2024-10979 mit 8,8 von 10 auf der CVSS-3.0-Skala ein. User ohne Administratorrechte können Systemvariablen ändern, beispielsweise PATH, und darüber beliebigen Code ausführen.

Postgres hat die Lücken bereits mit einem Update gefixt und empfiehlt, die Versionen 12.21, 13.17, 14.14, 15.9, 16.5 und 17.1 sofort einzuspielen. Wie bereits im März wiesen Leser uns darauf hin, dass GitLab nach wie vor an den alten, gefährdeten Versionen 14.11 und 16.4 festhält und die Updates verzögert.

Die Redaktion hat GitLab um eine Stellungnahme gebeten. Sie hat noch nicht unmittelbar darauf antworten können.

Vor zwei Wochen, wenige Tage nach dem offiziellen November-Patchday, hat Microsoft Fehler in den Sicherheitsupdates (SUs) für Exchange-Server erkannt und die Verteilung gestoppt. Nun haben die Entwickler die Fehler korrigiert. Microsoft hat die Verteilung der neuen Softwareaktualisierung aufgenommen.

Anzeige

"Die ursprüngliche Version dieser SUs (veröffentlicht am 12. November 2024) führte zu einem Problem mit Exchange Server-Transportregeln, die in einigen Umgebungen nach einer bestimmten Zeit angehalten wurden", erklären die Entwickler in einem Techcommunity-Beitrag des Exchange-Teams von Microsoft. Sie ergänzen: "Die neu freigegebenen SUs beheben dieses Problem".

Eine Entscheidungsmatrix soll IT-Verantwortlichen dabei helfen, den empfohlenen Umgang mit der Version 2 des November-Sicherheitsupdates umzusetzen. Im Wesentlichen laufen alle Einträge darauf hinaus, die Version 2 zu installieren; nur für den Fall, dass die erste Update-Fassung installiert war und die Organisation keine Transport- oder DLP-Regeln nutze, sei Abwarten eine Option, da die betroffenen Server das Update im Dezember selbst herunterladen und installieren. In allen anderen Fällen ist Admins empfohlen, die neue Fassung des Sicherheitsupdates zu installieren.

In dem ursprünglichen Ankündigungs-Post haben die Entwickler die Links auf die Updates aktualisiert. Microsoft schreibt weiter, dass die neue Fassung zwei Änderungen umfasse. Einerseits korrigiert sie die Transport-Regel-Probleme. Andererseits liefert sie eine feiner granulierte Kontrolle der "Nicht-RFC-konformen P2-FROM-Header-Erkennung".

Derzeit tauchen bundesweit vermehrt manipulierte QR-Codes an Parkscheinautomaten auf. Dabei handelt es sich nach Angaben der Polizei um eine Betrugsmasche, bei der Kriminelle versuchen, über QR-Codes an sensible Daten zu gelangen – sogenanntes Quishing.

Anzeige

In Freiburg waren Ende November an mehreren Parkautomaten gefälschte QR-Codes entdeckt worden, wie die örtliche Polizei mitteilte. Die Fälschungen führten zu einer "täuschend echten" Internetseite des Unternehmens, auf der Betroffene dazu aufgefordert wurden, ihre Kreditkartendaten anzugeben. Im September war eine Frau auf einem Parkplatz in Baden-Baden durch die Masche um 2.000 Euro betrogen worden. Betrüger hatten dort QR-Codes der Firma EasyPark überklebt.

"Bisher sind uns Betrugsversuche in Landau, Baden-Baden, Hannover, Berlin und Frankfurt bekannt", sagte Nico Schlegel, Geschäftsführer von EasyPark Deutschland, auf dpa-Nachfrage. Das Unternehmen rät Nutzerinnen und Nutzern, die App herunterzuladen. Wird ein echter QR-Code gescannt, löse das entweder den Start der App aus oder man lande direkt im App-Store – aber niemals auf einer Internetseite.

Nach Angaben der Cybersicherheitsagentur Baden-Württemberg gibt es auch Fälle mit manipulierten QR-Codes in Zusammenhang mit E-Auto-Ladesäulen sowie gefälschten Schreiben von Banken oder dem Finanzamt. Zuvor hatten mehrere Medien über die aktuellen Betrugsfälle berichtet.

Jetzt rächt es sich, dass die einstige Ampel-Regierung bei zwei entscheidenden Gesetzesvorhaben zum besseren Schutz kritischer Infrastrukturen (Kritis) lange nicht auf einen grünen Zweig gekommen ist. Die EU-Kommission hat am Donnerstag Deutschland und 22 weitere EU-Mitgliedsstaaten aufgefordert, ihr Informationen zum Stand der Umsetzung der NIS2 getauften neuen EU-Richtlinie zur Netz- und Informationssicherheit mitzuteilen. Das ist die erste Stufe eines Vertragsverletzungsverfahrens, das teuer enden kann. Mit NIS2 soll ein hohes Cybersicherheitsniveau in der gesamten EU in Sektoren wie Energie- und Wasserversorgung, Informations- und Kommunikationstechnologien (IKT), Verkehr, Finanzwesen und Medien gewährleistet werden. Die EU-Länder hätten die Richtlinie bis zum 17. Oktober in nationales Recht umsetzen müssen.

Anzeige

Gegen 24 Mitgliedstaaten inklusive Deutschland hat die Brüsseler Regierungsinstitution zugleich weitere Verletzungsverfahren gestartet, weil sie ihr keine nationalen Maßnahmen zur Umsetzung der Richtlinie über die Resilienz kritischer Einrichtungen mitgeteilt haben. Dabei handelt es sich quasi um die Analog-Variante der NIS2. Mit dieser zweiten Richtlinie sollen Betreiber von Anlagen und Systemen in deutlich erweiterten Kritis-Sektoren stärker in die Pflicht genommen werden. Sie müssen etwa Risikobewertungen durchführen, um die Widerstandsfähigkeit gegenüber Störungen und Gefahren zu erhöhen, sowie Mindeststandards einhalten. Die Umsetzungsfrist endete hier ebenfalls Mitte Oktober. Die betroffenen Staaten haben nun zwei Monate Zeit, um einschlägige Gesetzesvorhaben abzuschließen und die Kommission darüber zu informieren. Andernfalls droht die zweite Stufe des Verletzungsverfahrens.

Hierzulande hat die Bundesregierung mittlerweile zwar einschlägige Vorhaben auf den Weg gebracht. Sie müssen beide aber noch durch den Bundestag und den Bundesrat. Zum NIS2-Umsetzungsgesetz fand im Oktober die 1. Lesung statt. Die zweite Richtlinie will die Exekutive mit dem Kritis-Dachgesetz in nationales Recht gießen. Sie einigte sich erst Anfang November auf den entsprechenden Regierungsentwurf. Nach dem Ampel-Aus ist die Zukunft der Vorhaben ungewiss. Thorsten Frei, Vizechef der CDU/CSU-Bundestagsfraktion, monierte jüngst beim Kritis-Dachgesetz, der Entwurf enthalte "noch deutlich zu viele Fehler und Ungereimtheiten". Man könne ihn nicht unterstützen. Grünen-Fraktionsvize Konstantin von Notz konterte in der "Welt": "Dass die Union trotz krassester Bedrohungslagen und zahlreicher Anschläge auf unsere kritischen Infrastrukturen in den vergangenen Monaten aus parteitaktischen Überlegungen eine Fundamentalopposition einnimmt, ist schlicht unverantwortlich."

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die Rabattaktionen rund um den Black Friday locken viele Kunden: Die für Cyber-Sicherheit zuständige Bundesbehörde warnt vor Fake-Onlineshops und Betrügern, die diesen Anlass nutzen könnten, um mit unseriösen Angeboten zu locken. "Grundsätzlich sollten sich Verbraucherinnen und Verbraucher nicht von niedrigen Preisen und schnellen Rabattaktionen täuschen lassen", sagte die Verbraucherschutz-Expertin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Larissa Hänzgen. Wer auf verdächtige Signale achte und persönliche Daten nicht leichtfertig preisgebe, könne die Risiken deutlich reduzieren.

Anzeige

Ein Hinweis für einen Fake-Shop kann laut BSI ein unvollständiges Impressum sein, in dem etwa die vertretungsberechtigte Person oder die Postadresse fehlt. Kunden, die bestellte Waren nicht erhalten oder bemerken, dass eine fremde Person Zugriff auf ihr Benutzerkonto zu haben scheint, sollten sofort reagieren. Die Behörde stellt auf ihrer Internetseite unter dem Stichwort "Onlineshopping SOS-Karte" Informationen zu den wichtigsten Schutzmaßnahmen bereit.

Das BSI warnt auch vor Phishing-Mails zum Black Friday, die Nachrichten von bekannten Händlern oder Zahlungsdienstleistern täuschend ähnlich sehen. Damit sollen Nutzer dazu gebracht werden, Links zu öffnen und sensible Daten wie Passwörter oder Kontodaten einzugeben. "Passt die E-Mail-Adresse nicht zur offiziellen Domain des vermeintlichen Absenders, ist dies ein erstes Anzeichen für eine Phishing-Mail. Es wird jedoch immer schwieriger, solche Mails zu enttarnen", sagte Hänzgen.

Die Rabattaktion Black Friday fällt in diesem Jahr auf den 29. November. Viele Händler bieten aber auch bereits Tage und Wochen vorher zahlreiche Produkte zu reduzierten Preisen an. Seinen Ursprung hat der Black Friday, für dessen Bezeichnung es mehrere mögliche Erklärungen gibt, in den USA. Dort markiert der Brückentag nach Thanksgiving, dem vierten Donnerstag im November, den Beginn des Weihnachtsgeschäftes.

Im Open-Source Developer-Tool Jenkins wurden mehrere Sicherheitslücken entdeckt. Die Entwickler schließen die Schwachstellen mit aktualisierter Software. IT-Verantwortliche sollten die Updates zügig anwenden.

Anzeige

In der Sicherheitsmitteilung listen die Jenkins-Entwickler drei verwundbare Add-ons auf. Am schwersten wiegt die Schwachstelle im Simple Queue Plug-in. Es versieht Namen von Views nicht mit Escape. Das mündet in einer Stored-Cross-Site-Scripting-Lücke, die Angreifer mit "View/Create"-Rechten missbrauchen können (CVE-2024-54003, CVSS 8.0, Risiko "hoch"). Den Fehler korrigieren die Plug-in-Version 1.4.5 sowie neuere.

Die mitgelieferte json-lib-Bibliothek weist eine Denial-of-Service-Lücke auf. Die in Jenkins LTS 2.479.1 sowie 2.486 und älteren gebündelten Versionen von org.kohsuke.stapler:json-lib sind von dem Leck betroffen, erörtern die Entwickler. Angreifer mit der Berechtigung "Overall/Read" können dadurch die Threads zum Behandeln von HTTP-Anfragen dauerhaft beschäftigen, was Systemressourcen verbraucht und andere davon abhält, Jenkins zu nutzen. Einige Plug-ins ermöglichen solche Angriffe sogar ohne "Overall/Read"-Berechtigung (CVE-2024-47855, CVSS 7.5, hoch). Jenkins LTS 2.479.2 und 2.487 und neuere haben eine korrigierte Version von org.kohsuke.stapler:json-lib dabei.

Schließlich klafft im Filesystem List Parameter Plugin eine Path-Traversal-Schwachstelle. Angreifer mit "Item/Configure"-Rechten können dadurch Dateien vom Dateisystem des Jenkins-Controllers auflisten (CVE-2024-54004, CVSS 4.3, mittel). Die Plug-in-Version 0.0.15 korrigiert den Fehler.

Bei einem Cyberangriff ist es Kriminellen aus Südostasien gelungen, der Zentralbank von Uganda umgerechnet rund 16 Millionen Euro zu stehlen. Das berichtet die ugandische Tageszeitung Daily Monitor, laut anderen Medienberichten ist es der "Benki Kuu ya Uganda" aber bereits gelungen, mehr als die Hälfte der Beute zurückzubekommen. Die Bande, die sich selbst "Waste" (englisch für Abfall) nennt, ist laut dem Daily Monitor in die IT-Infrastruktur der Bank eingedrungen und habe von einem Konto 62,4 Milliarden Uganda-Schilling transferiert. Ob das Geld das eigentliche Ziel gewesen sei oder die unbekannten Kriminellen einfach gestohlen haben, was sie vorgefunden haben, sei nicht bekannt.

Anzeige

Laut dem Bericht ereignete sich der Diebstahl bereits vor zwei Wochen, in der Folge habe sich sogar Staatspräsident Yoweri Museveni mit dem Fall befasst. Zuerst sei die Polizei mit den Ermittlungen beauftragt worden, später hätten aber die Geheimdienste des zentralafrikanischen Landes übernommen. Bei der Zentralbank selbst habe man versucht, die Angelegenheit möglichst unter Verschluss zu halten. Besorgt war man demnach, dass der Diebstahl den Fokus der Aufmerksamkeit darauf ziehen könnte, dass die Zentralbank seit fast drei Jahren keinen allein dafür verantwortlichen Chef hat. Außerdem hätten anonyme Quellen von Hinweisen dafür gesprochen, dass die Cyberkriminellen Hilfe von Insidern gehabt hätten.

Weitere Details etwa zum Vorgehen der Diebe gibt es bislang nicht, laut Daily Monitor wurde eine externe Firma mit einer Überprüfung beauftragt. Die Nachrichtenagentur Reuters erklärt noch, dass Banken und andere Finanzinstitutionen in Uganda immer wieder Opfer vergleichbarer Cyberangriffe werden. Von der Polizei heißt es aber, dass einige der Opfer zögern würden, das öffentlich einzugestehen. Die Befürchtung ist demnach, dass damit Kunden verprellt würden. Zentralbanken von Staaten sind aber selten Opfer. Vor achteinhalb Jahren wurden der Zentralbank von Bangladesch einige Dutzend Millionen US-Dollar gestohlen, nur wegen eines Zufalls war es den Dieben damals nicht gelungen, fast eine Milliarde zu stehlen.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Künstliche Intelligenz, Cybersecurity und digitale Innovationen – diese und weitere Trends erfordern von Unternehmen sehr viel Fingerspitzengefühl. Auf dem ersten IT Summit by heise in München konnten IT-Verantwortliche, Admins und KI-Profis köstlich darüber streiten.

Anzeige

Neben Fachvorträgen und Ausstellerangeboten bot der Summit viel Raum für intensives Networking. Auf einem Side Event fand beispielsweise der Thementag "Women in Tech" mit hochkarätigen Sprecherinnen aus der IT-Branche statt.

Ihr gemeinsames Ziel: Mehr Mädchen für MINT-Berufe zu begeistern und Frauen in der IT-Branche sichtbarer zu machen, wie Prof. Dr. Claudia Eckert vom Fraunhofer-Institut für angewandte und integrierte Sicherheit erläuterte.

In Manageengine Analytics Plus von Zohocorp können Angreifer aufgrund einer Schwachstelle ihre Rechte ausweiten. Dies gelingt durch unbefugt möglichen Zugriff auf sensible Daten.

Anzeige

In der Sicherheitsmitteilung von Zoho erörtern die Autoren, dass eine Schwachstelle in Analytics Plus sensible Daten offenlegt. Angemeldete Nutzerinnen und Nutzer können dadurch an sensible Token gelangen, die mit dem "org-admin"-Konto verknüpft sind. Das ermöglicht ihnen eine unbeabsichtigte Ausweitung ihrer Rechte (CVE-2024-52323, CVSS 8.1, Risiko "hoch").

"Diese Schwachstelle ermöglicht Angreifern, Admin-Aktionen auszuführen. Sie können etwa Nutzerinnen und Nutzer hinzufügen oder entfernen und Konfigurationen verändern", erklären die Autoren der Sicherheitsmitteilung.

Das Problem lösen die Softwareentwickler dadurch, dass sie ungenutzten und verwundbaren Code aus der Anwendung entfernen. Das eliminiere die Schwachstelle, führen die Entwickler weiter aus.

Wie kann ein Dienstleister, der Cyberattacken vorbeugt, seinen Service bewerben? Etwa indem er seine Dienste mit Werbeanzeigen, die seine Reputation präsentieren, anpreist. Doch es geht auch ganz anders, wie jüngst ein Anbieter solcher Dienste in Kansas, USA gezeigt hat. Dafür hat er jetzt eine Anzeige kassiert.

Anzeige

Einem Beitrag des United States Attorney's Office zufolge, hat er in drei dokumentierten Fällen unter anderem einen Betreiber von Fitnesscentern gehackt, um im Anschluss seinen Service zu bewerben und Hilfe anzubieten, künftige Attacken vorzubeugen. Er gibt an, Zugriff auf Sicherheitskameras zu haben und Nutzeraccounts einsehen zu können. Als Beweis für den Zugriff habe er zudem seinen Mitgliedsbeitrag auf 1 US-Dollar pro Monat gesenkt.

In einem weiteren Fall habe er vor Ort eine Non-Profit-Organisation attackiert. Dabei umging er mittels einer Bootdisk die Authentifizierung und verschaffte sich Zugriff auf sensible Daten. Anschließend hat er sich einen Fernzugriff via VPN eingerichtet und die Passwörter der Angestellten geändert, um sie auszusperren. Die Attacke habe die Organisation 5000 US-Dollar gekostet. Das geht aus einem ausführlichen Bericht zu den Vorfällen hervor.

Ob der Dienstleister in einem der Fälle engagiert wurde, bleibt unklar – das ist aber äußerst unwahrscheinlich. Welche Strafe den Täter erwartet, ist bislang noch nicht bekannt.

Netzwerkspeicher von Synology sind verwundbar. Angreifer können an Sicherheitslücken in DSM und der NAS-App Surveillance Station ansetzen, um Schaden anzurichten. Auch die Backuplösung BeeDrive for Desktop wurde gegen mögliche Attacken abgesichert. Noch sind aber nicht alle Sicherheitspatches erschienen.

Anzeige

CVE-Nummern und eine Einstufung des Bedrohungsgrads der Lücken stehen derzeit noch aus. Die DSM-Lücke stuft das Notfallteam des BSI CERT Bund als "kritisch" ein. Sind Attacken erfolgreich, können Angreifer DoS-Zustände erzeugen, auf sensible Daten zugreifen oder sich höhere Nutzerrechte aneignen. Wie das ablaufen könnte, ist bislang unklar.

Es gibt auch noch keine Hinweise auf bereits laufende Angriffe. Um NAS-Systeme abzusichern, stehen die Sicherheitsupdates DSM 7.2.1-69057-2, 7.2.2-72806 und DSMUC 3.1.4-23079 bereit. Der Patch für DSM 7.1 steht noch aus.

Surveillance Station ist in den Ausgaben 9.2.2-11575 und 9.2.2-9575 abgesichert. Die Schwachstelle in BeeDrive for Desktop kann Schadcode auf PCs durchlassen. Die Version 1.3.2-13814 ist dagegen gerüstet.

Microsoft startet einen neuen Anlauf, um die Sicherheit von Windows zu verbessern. "Administrator Protection" heißt dieser Mechanismus, der das Arbeiten mit den niedrigstmöglichen Rechten erlauben und so den Rechner vor ungewollten Folgen aufgrund von schädlichen Admin-Aktionen schützen soll. Wem das bekannt vorkommt: Das sollte ursprünglich bereits die Benutzerkontensteuerung (UAC) aus Windows Vista leisten, die jedoch später von Microsoft offiziell nicht mehr als Sicherheitsfunktion eingestuft und so aufgeweicht wurde, dass Admin-Rechte sogar automatisch vergeben wurden – gelegentlich auch an Malware.

Anzeige

Vor einer administrativen Aufgabe wie der Software-Installation steht mit "Administrator Protection" ein Windows-Hello-Prompt.

(Bild: Microsoft)

Die neue Funktion ist zwar ähnlich, unterscheidet sich jedoch deutlich an entscheidenden Stellen. Bei der Benutzerkontensteuerung fragt Windows vor manchen Admin-Aktionen nach einer Bestätigung, die auf einen isolierten Desktop mit einem Dialog und einem Freigabe- und Abbrechen-Knopf führt – erbittet also eine "geschützte" Autorisierung der Aktion. Die "Administrator Protection" fährt schwerere Geschütze auf: Eine Authentifizierung mittels Windows Hello soll sicherstellen, dass nur Befugte aktiv die Admin-Aufgabe freigeben. Somit handelt es sich um eine Authentifizierung mit anschließender Autorisierung des Vorgangs.

Europäische Polizeibehörden haben eine internationale Bande von Streaming-Piraten auffliegen lassen, deren IPTV-Plattformen von mehr als 22 Millionen Nutzern besucht wurden. Die illegal kopierten Video-Streams namhafter TV-Sender und großer Streaming-Dienste haben laut Polizeiangaben über 250 Millionen Euro pro Monat generiert. Doch jetzt wurde eine Vielzahl von Websites sowie Server beschlagnahmt und einige Verdachtspersonen in Kroatien verhaftet.

Anzeige

Das meldet die Polizia Postale, die für Internetkriminalität zuständige Sonderabteilung der italienischen Polizei. Die Operation unter dem Namen "Taken Down" wurde in Zusammenarbeit mit Europol und Eurojust sowie anderen europäischen Staaten durchgeführt und ist der größte Schlag gegen Streaming-Piraten sowohl in Italien als auch international. Fernsehpiraterie wird zu einem immer größer werdenden Problem der Medien. Anfang 2023 wurde etwa berichtet, dass 5,9 Millionen Deutsche illegal in die Röhre schauen.

Welche Plattformen und Websites jetzt geschlossen und welche Domains dafür genutzt wurden, geht aus der Mitteilung der Polizia Postale nicht hervor. Dort wurden kopierte IPTV-Inhalte, Live-Übertragungen und Streaming-Dienste großer Sender wie Sky, DAZN, Amazon Prime, Netflix, Disney+ und Paramount angeboten. Insgesamt wurden 2500 illegale Kanäle und Server beschlagnahmt, darunter neun Server in Rumänien und Hongkong.

"Über 270 Mitarbeiter der Polizia Postale führten in Zusammenarbeit mit ausländischen Polizeikräften 89 Durchsuchungen in fünfzehn italienischen Regionen durch, davon 14 Durchsuchungen im Vereinigten Königreich, in Holland, Schweden, der Schweiz, Rumänien, Kroatien und China, an denen 102 Personen beteiligt waren", schreibt die italienische Behörde zu den zwei Jahre umfassenden Ermittlungen.

In der gemeinsamen "Operation Serengeti" von Interpol und Afripol haben Strafverfolger in 19 afrikanischen Ländern 1006 verdächtige Cyberkriminelle festgenommen. Dabei haben sie 134.089 kriminelle Netzwerke zerschlagen. Die Operation lief vom 2. September bis 31. Oktober dieses Jahres. Nationale Behörden und private Partner unterstützten die Operation mit wichtigen Informationen und Ressourcen.

Anzeige

Die Ermittlungen konzentrierten sich auf Cyberkriminalität wie Ransomware, Phishing und Online-Betrug, schreibt Interpol zu der Aktion. Mehr als 35.000 Opfer wurden dabei identifiziert. Die weltweiten Verluste summieren sich auf fast 193 Millionen US-Dollar. Immerhin konnten die Beamten fast 44 Millionen US-Dollar sicherstellen.

In Kenia konnten die Strafverfolger demnach etwa einen Fall von Online-Kreditkartenbetrug aufklären, der den Opfern Verluste in Höhe von 8,6 Millionen US-Dollar einbrachte. Mit betrügerischen Skripten, die nach Manipulationen des Sicherheitsprotokolls des Banksystems liefen, wurde das gestohlene Geld mittels SWIFT an Unternehmen in die Vereinigten Arabischen Emirate, Nigeria und China verschoben, an Einrichtungen zur Verwaltung digitaler Vermögenswerte. Hierbei kam es bislang zu fast zwei Dutzend Verhaftungen.

Im Senegal wurden acht Personen, einschließlich fünf Chinesen, wegen eines Schneeballsystems verhaftet, mit dem sie 1811 Opfer um 6 Millionen US-Dollar gebracht haben. Die Durchsuchung ihrer Wohnung förderte 900 SIM-Karten, 11.000 US-Dollar in bar, Telefone, Laptops und Kopien von Identitätsdokumenten (ID-Karten) von Opfern zu Tage.

Palo Alto Networks Globalprotect App dient zur Herstellung von VPN-Verbindungen. Eine Sicherheitslücke ermöglicht Angreifern, Schadcode einzuschleusen und mit erhöhten Rechten auf verwundbaren Rechnern zu installieren.

Anzeige

Die Entdecker der Sicherheitslücke von Amberwolf schreiben in ihrer detaillierten Analyse, dass die Globalprotect-VPN-Clients sowohl unter macOS als auch unter Windows anfällig für das Ausführen von Schadcode aus dem Netz und der Ausweitung der Rechte sind, und zwar durch den automatischen Update-Mechanismus (CVE-2024-5921, CVSS-B 7.2, Risiko "hoch"). Zwar erfordert der Update-Prozess, dass MSI-Dateien signiert sind, jedoch können Angreifer den PanGPS-Dienst zum Installieren eines bösartigen, dadurch vertrautem Root-Zertifikat missbrauchen. Die Updates laufen dann mit den Rechten der Dienst-Komponente – root und macOS und SYSTEM unter Windows.

Standardmäßig können Nutzerinnen und Nutzer beliebige Endpunkte in der Bedienoberfläche der VPN-Clients eintragen. Das können Angreifer etwa mit Social Engineering ausnutzen, um Opfer dazu zu bringen, auf bösartige VPN-Server zu verbinden. Diese können Zugangsdaten abgreifen und Systeme mit bösartigen Client-Updates kompromittieren.

In der Sicherheitsmitteilung erklärt Palo Alto, dass von der Sicherheitslücke die Globalprotect Apps 6.3 für alle Betriebssysteme, 6.2 für Linux, macOS und Windows, 6.1 für alle OS, die Globalprotect iOS-App sowie die UWP-App betroffen sind. Bei der Android-Version laufen die Analysen von Palo Alto noch. Nicht betroffen sind Globalprotect 5.1 und 6.0 im FIPS-CC-Modus, dessen Aktivierung die Entwickler auch als einen möglichen Workaround nennen. Außerdem ist die Lücke ab Globalprotect 6.2.6 für Windows nicht mehr enthalten.

Microsoft hat in der Nacht zum Mittwoch vier Sicherheitsmitteilungen veröffentlicht. Sie behandeln teils kritische Schwachstellen, für die Microsofts Entwickler Updates bereitstellen. Einige müssen Nutzerinnen und Nutzer selbst installieren, andere hat Microsoft auf Cloud-Diensten bereits selbst verteilt.

Anzeige

Eine kritische Sicherheitslücke betrifft Microsofts Copilot Studio. Sie erlaubte es Angreifern, ihre Rechte auszuweiten (CVE-2024-49038, CVSS 9.3, Risiko "kritisch"). Ursächlich ist eine unzureichende Filterung von Nutzereingaben während der Webseitenerstellung, Microsoft ordnet die Lücke unter Cross-Site-Scripting ein. Nicht autorisierte Angreifer aus dem Netz können dadurch ihre Rechte ausweiten. Kunden müssen keine Maßnahmen ergreifen, um das Problem zu korrigieren.

Eine Schwachstelle im "partner.microsoft.com"-Angebot wurde bereits missbraucht, erklärt Microsoft im Schwachstelleneintrag. Angreifer aus dem Netz können ohne vorherige Authentifizierung ihre Rechte erhöhen, da Zugriffsrechte nicht korrekt umgesetzt wurden (CVE-2024-49035, CVSS 8.7, hoch). Konkret gab es das Problem in der Online-Version der Microsoft Power Apps. Abweichend von der CVSS-Einstufung ordnet Microsoft die Lücke jedoch als kritisch ein. Auch hier müssen Kunden nichts weiter machen, Microsoft hat das Problem serverseitig gelöst.

In Microsoft Azure PolicyWatch konnten Angreifer aus dem Netz ohne Autorisierung ihre Rechte erhöhen, da einer nicht näher genannten, kritischen Funktion eine Authentifizierung schlicht fehlte (CVE-2024-49052, CVSS 8.2, hoch). Auch hier stufen Microsofts Entwickler das Risiko abweichend als kritisch ein. Immerhin müssen Kunden nichts weiter tun, die Korrekturen erfolgen serverseitig durch Microsoft.

Aufgrund mehrerer Softwareschwachstellen könnten Attacken auf VMware Aria Operations bevorstehen. Eine dagegen geschützte Ausgabe steht zum Download bereit. Insgesamt haben die Entwickler fünf Lücken geschlossen.

Anzeige

In einer Warnmeldung führen die Entwickler aus, dass zwei Root-Schwachstellen (CVE-2024-38830, CVE-2024-38831) mit dem Bedrohungsgrad "hoch" eingestuft sind. Sind Attacken erfolgreich, können sich Angreifer Rootrechte verschaffen. In so einer Position ist davon auszugehen, dass sie Systeme vollständig unter ihre Kontrolle bringen können. Die Hürde für einen Angriff ist aber hoch, und Angreifer müssen bereits über lokale Adminrechte verfügen.

Wie so eine Attacke im Detail ablaufen könnte und woran Admins bereits attackierte PCs erkennen können, führt VMware derzeit nicht aus.

Die drei verbleibenden Schwachstellen (CVE-2024-38832 "hoch", CVE-2024-38833 "mittel", CVE-2024-38834 "mittel") ermöglichen Stored-XSS-Attacken. An dieser Stelle können Angreifer mit Zugriff zum Editieren auf einen Cloudanbieter eigenen Code ausführen.

Mitte November wurde bekannt, dass Daten von mehr als 3,5 Millionen europäischen Kunden von brillen.de frei zugänglich im Netz standen. Inzwischen hat der Betreiber des Angebots Supervista die Untersuchungen weitgehend abgeschlossen.

Anzeige

Auf dem brillen.de-Webauftritt hat das Unternehmen eine Kundeninformation zu dem Vorfall veröffentlicht. Auf unsere Nachfrage hat Supervista weiterreichende Informationen herausgegeben. "Am 7. August 2024 wurde durch eine Fehlkonfiguration eines Server-Ports auf drei AWS-gehosteten Servern bei Supervista eine potenzielle Sicherheitslücke eröffnet. Ein Mitarbeiter hatte zu Testzwecken eine Eingangsregel hinzugefügt, die Zugriff über Port 9200/TCP ermöglichte, ging jedoch irrtümlich davon aus, dass diese Sicherheitsgruppe ausschließlich für Test-Systeme genutzt würde", erklärt ein Jurist des Unternehmens gegenüber heise online.

Es sei zudem kein Authentifizierungsmechanismus aktiviert worden. "Nach Abschluss der Tests vergaß der Mitarbeiter, die Eingangsregel wieder zu entfernen, was einen externen, unautorisierten Zugriff ermöglichte", so der Unternehmenssprecher weiter.

Bereits am 9. August habe das System von Supervista einen ungewöhnlichen Zugriff von einer externen IP-Adresse erkannt. Der Zugriff sei umgehend blockiert worden. Der Konfigurationsfehler sei dem Mitarbeiter nicht bewusst gewesen, weshalb der Zugriff nicht auf den offenstehenden Server-Port zurückgeführt wurde. Dem heutigen Kenntnisstand nach hat es sich um den Zugriff von Cybernews gehandelt, die die offenstehende Elasticsearch-Instanz entdeckt und gemeldet hatten.

ScubaGear ist ein Tool zum Überprüfen der Sicherheitseinstellungen in M365. Entwickelt hat es die US-Sicherheitsbehörde CISA, damit US-Behörden die Sicherheit ihrer Microsoft-Cloud-Nutzung selbst checken und verbessern können. ScubaGear deckt verbreitete Konfigurationsfehler, Policy-Verstöße und andere Sicherheitsprobleme systematisch auf und gibt praktische Hinweise, wie man diese Probleme beseitigt. Unser erstes Scuba-Webinar war ausverkauft, deshalb bieten wir es am 4. Dezember erneut an.

Anzeige

Dieses heise-security-Webinar erklärt das Konzept und die Funktionsweise des Tools. Es zeigt ganz konkret, wie man es selbst nutzen kann, um die Sicherheit seines M365-Tenants zu verbessern. Dazu gehört auch, wie Sie das US-amerikanische Tool in einem deutschen beziehungsweise europäischen Kontext sinnvoll einsetzen.

Im Webinar geht es vor allem darum, reale Angriffe zu verhindern. Der Referent Tim Mittermeier erläutert dazu typische Angriffstechniken der Angreifer, um sich Zugriff auf Cloud-Infrastrukturen zu verschaffen und Privilegien zu erhöhen. Darauf aufbauend erklärt er mit praktischen Beispielen, wie man solche Schwachstellen in Microsoft Entra ID und M365 mit ScubaGear – und anderen vergleichbaren Werkzeugen – gezielt aufspüren kann. Abschließend gibt er Tipps zur Härtung der Entra-Mandanten und M365-SaaS-Applikationen. Administratoren und Sicherheitsverantwortliche erhalten damit direkt umsetzbare Hilfestellung bei der sicheren Konfiguration ihres M365-Tenants.

Das Webinar am 4. Dezember dauert etwa 90 Minuten und sieht dabei reichlich Zeit für Ihre Fragen und natürlich die Antworten darauf vor. Es richtet sich an alle, die Microsoft 365 in Unternehmen oder Behörden einsetzen und dabei auch für dessen Sicherheit und Compliance verantwortlich sind. Die Teilnahme kostet 145 Euro; Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen und dieses und viele weitere heise-security-Webinare auch später in der exklusiven PRO-Mediathek abrufen.