Comretix Blog

ScubaGear ist ein Tool zum Überprüfen der Sicherheitseinstellungen in M365. Entwickelt hat es die US-Sicherheitsbehörde CISA, damit US-Behörden die Sicherheit ihrer Microsoft-Cloud-Nutzung selbst checken und verbessern können. ScubaGear deckt verbreitete Konfigurationsfehler, Policy-Verstöße und andere Sicherheitsprobleme systematisch auf und gibt praktische Hinweise, wie man diese Probleme beseitigt. Unser erstes Scuba-Webinar war ausverkauft, deshalb bieten wir es am 4. Dezember erneut an.

Anzeige

Dieses heise-security-Webinar erklärt das Konzept und die Funktionsweise des Tools. Es zeigt ganz konkret, wie man es selbst nutzen kann, um die Sicherheit seines M365-Tenants zu verbessern. Dazu gehört auch, wie Sie das US-amerikanische Tool in einem deutschen beziehungsweise europäischen Kontext sinnvoll einsetzen.

Im Webinar geht es vor allem darum, reale Angriffe zu verhindern. Der Referent Tim Mittermeier erläutert dazu typische Angriffstechniken der Angreifer, um sich Zugriff auf Cloud-Infrastrukturen zu verschaffen und Privilegien zu erhöhen. Darauf aufbauend erklärt er mit praktischen Beispielen, wie man solche Schwachstellen in Microsoft Entra ID und M365 mit ScubaGear – und anderen vergleichbaren Werkzeugen – gezielt aufspüren kann. Abschließend gibt er Tipps zur Härtung der Entra-Mandanten und M365-SaaS-Applikationen. Administratoren und Sicherheitsverantwortliche erhalten damit direkt umsetzbare Hilfestellung bei der sicheren Konfiguration ihres M365-Tenants.

Das Webinar am 4. Dezember dauert etwa 90 Minuten und sieht dabei reichlich Zeit für Ihre Fragen und natürlich die Antworten darauf vor. Es richtet sich an alle, die Microsoft 365 in Unternehmen oder Behörden einsetzen und dabei auch für dessen Sicherheit und Compliance verantwortlich sind. Die Teilnahme kostet 145 Euro; Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen und dieses und viele weitere heise-security-Webinare auch später in der exklusiven PRO-Mediathek abrufen.

Palo Alto untersucht eine angebliche Codeschmuggel-Sicherheitslücke in der Verwaltungsoberfläche des Firewall-Betriebssystems PAN-OS. Der Hersteller empfiehlt Administratoren, Sicherheitsmaßnahmen zu ergreifen, um Angriffe von außen zu erschweren.

Anzeige

In einer Sicherheitsmitteilung schreiben die Palo-Alto-Entwickler, dass das Unternehmen von einer angeblichen Sicherheitslücke im PAN-OS-Managementinterface wisse, die das Einschleusen und Ausführen von Schadcode erlauben solle. Details zu der Lücke kennen die Mitarbeiter nicht, beobachten die Lage jedoch nach Anzeichen von Missbrauch. Sie glauben, dass Prisma Access und Cloud NGFW nicht betroffen seien, nennen dafür jedoch keine Gründe.

Palo Alto empfiehlt Kunden dringend, sicherzustellen, dass der Zugang zur Verwaltungsoberfläche korrekt und im Einklang mit den empfohlenen Best-Practices-Richtlinien erfolgt. Dafür stellt das Unternehmen auch eine Anleitung bereit. Um potenziell betroffene Geräte zu identifizieren, sollen Kunden sich ins Kundenportal einloggen und dort unter "Products" – "Assests" – "All Assets" – "Remediaten Required" nachschauen. Palo Alto scannt das Internet regelmäßig auf öffentlich erreichbare Palo-Alto-Geräte. Geräte, die dort mit "PAN-SA-2024-0015" markiert wurden, bedürfen der Aufmerksamkeit von Admins.

Indizien für Angriffe (Indicators Of Compromise, IOCs) könne man nicht nennen. Auch wisse der Hersteller nichts von aktiven Exploitversuchen.

Am Oktober-Patchday, der am 10. Oktober 2024 stattfand, hat Microsoft auch ein Update für die Windows-Update-Komponenten veröffentlicht. Die weitgehend unbeachtet gebliebene Aktualisierung hat jedoch praktische Funktionen nachgerüstet. Microsoft installiert es auch nur auf bestimmten Windows-Versionen.

Anzeige

In einem Support-Artikel beschreibt Microsoft den Inhalt der Aktualisierung. Die Updates zum KB5001716-Artikel sorgen dafür, dass Nutzerinnen und Nutzer eine Benachrichtigung erhalten, dass eine installierte Windows-Version keine Aktualisierung mehr erhält und am Ende des Lebenszyklus angelangt ist.

Die Autoren schreiben: "Nach der Installation dieses Updates zeigt Windows möglicherweise in regelmäßigen Abständen eine Benachrichtigung an, die Sie über Probleme informiert, die Windows Update daran hindern, Ihr Gerät auf dem neuesten Stand zu halten und vor aktuellen Bedrohungen zu schützen. So kann beispielsweise eine Benachrichtigung angezeigt werden, die Sie darüber informiert, dass auf Ihrem Gerät derzeit eine Version von Windows ausgeführt wird, deren Support-Lebenszyklus abgelaufen ist, oder dass Ihr Gerät nicht die Mindestanforderungen an die Hardware für die derzeit installierte Version von Windows erfüllt."

Diese Benachrichtigungen sollen Betroffene jedoch nicht stören. Sie berücksichtigen laut Microsoft aktivierten Vollbildmodus etwa bei Spielen, Ruhezeiten (Nicht-stören-Modus) oder einen eingeschalteten Fokus-Modus von Windows.

Die Staatsanwaltschaft und die Polizei Dresden ermitteln gegen einen Systemadministrator, der eine komplette Wahlbenachrichtigungsdatei mit personenbezogenen Daten von 430.000 Bürgern der sächsischen Hauptstadt rechtswidrig auf mindestens einen externen Datenträger kopiert haben soll. Dieses Verzeichnis enthält die Namen, Anschriften und Geburtsdaten aller Dresdner Wahlberechtigten.

Anzeige

Der Beschuldigte war im kommunalen Eigenbetrieb IT-Dienstleistungen verantwortlich für die datentechnische Unterstützung der Wahlen für das Bürgeramt, erklärte die Stadtverwaltung am Freitag. Die Erstellung und Speicherung des Wählerverzeichnisses sei Teil seiner Arbeit gewesen. Für die dienstliche Verwendung der Kopie soll es aber keine Anhaltspunkte gegeben haben.

Die Behörden werfen dem 54-Jährigen auch vor, zwischen Mai und dem 22. Oktober wiederholt unbefugt externe private Speichermedien an dienstliche IT-Technik der Landeshauptstadt Dresden angeschlossen und dabei insgesamt rund 270.000 Dateien transferiert zu haben. Der Verdacht des Datenschutzverstoßes sei bei regulären Prüfungen zum dienstgerechten Umgang mit personenbezogenen Informationen durch den IT-Eigenbetrieb Ende Oktober festgestellt worden, führt die Kommunalverwaltung aus.

Der Dienststellenleiter habe unverzüglich sämtliche Zugriffe des Beschuldigten gesperrt, heißt es weiter. Er habe Dienstgeräte sicherstellen lassen und ein Hausverbot erteilt. Parallel sei der Sicherheitsvorfall bei der sächsischen Datenschutzbeauftragten, beim Security-Notfallteam Sax.cert und beim Landeskriminalamt angezeigt worden.

IT-Sicherheitsforscher von Sentinel haben eine neue Malware-Kampagne entdeckt, die sie der nordkoreanischen Cyberkriminellen-Gruppierung Blue Noroff zuschreiben. Mit einer macOS-spezifischen mehrstufigen Malware zielen die Angreifer auf Firmen aus dem Kryptowährungssektor ab.

Anzeige

Die Angreifer ködern ihre Opfer laut der IT-Forscher mit E-Mails, die sie als Newsletter über die Kryptowährungstrends tarnen. Die Angreifer nutzen den Namen einer realen Person als Absender, die die Mail eines Krypto-Influencers weiterleitet. Die Opfer infizieren sich, wenn sie auf einen Link zu vermeintliche PDF-Dateien in der Mail klicken, der mit Titeln wie "Das versteckte Risiko hinter dem neuen Bitcoin-Preisanstieg" lockt. Angelehnt an den PDF-Namen haben die Forscher die Kampagne HiddenRisk genannt.

Bei der initialen Infektion gelangt ein sogenannter Dropper auf das betreffende System. Dabei handelt es sich um ein Softwarepaket, das einen Virus enthält. Dieser nistet sich auf dem System ein, um dann weitere Schadsoftware nachzuladen.

Der in der von Apple entwickelten Programmiersprache Swift geschriebene Dropper wurde am 19. Oktober von der Apple-Developer-ID “Avantis Regtech Private Limited (2S8XHJ7948)” signiert und notarisiert. Mittlerweile hat Apple die Signatur widerrufen. Eigentlich dient eine solche Signatur und Notarisierung der Bestätigung von Funktionalität und Sicherheit einer Software.

Russische Webseiten-Betreiber und -Nutzer sollen Abstand von Diensten des US-Anbieters Cloudflare nehmen, empfiehlt die Zensur- und Aufsichtsbehörde Roskomnadzor. Grund dafür ist die Einführung einer TLS-Erweiterung namens Encrypted Client Hello (ECH) durch Cloudflare. Die russische Aufsichtsbehörde sieht dadurch die Sicherheit im Land gefährdet, da sie nun bestimmte Webseiten nicht mehr blockieren kann. Deswegen blockiert sie rundheraus alle von Cloudflare ausgelieferten Webseiten mit ECH.

Anzeige

Dessen Nutzung sei gesetzeswidrig und verstoße gegen "Technische Maßnahmen zur Bekämpfung von Bedrohungen" ("техническими средствами противодействия угрозам"), so Rozkomnadzor in einer Mitteilung. Die ECH-Erweiterung verschlüsselt den Domainnamen beim Aufruf einer Webseite per HTTPS so, dass mithorchende Firewalls oder Zensurstellen diesen nicht mehr einsehen können, sondern lediglich eine generische Domain (im Falle Cloudflares "cloudflare-ech.com") ermitteln. Sie ersetzt das unsichere SNI (Server Name Indication), das diesen Domainnamen unverschlüsselt zwischen Client und Server übertrug.

Die Cloudflare-ECH-Domain blockieren russische Provider nun, sofern ein zweites Kriterium ebenfalls zutrifft: Die ECH-Protokollerweiterung ist gesetzt. Trifft eines der beiden Kriterien nicht zu, so lassen die russischen Zensurmechanismen das Paket passieren. Damit sind alle über Cloudflares CDN (Content Delivery Network) ausgelieferten Webseiten inner- und außerhalb Russlands potenziell betroffen.

Wie groß die Auswirkungen dieser Blockade sind, ist unklar: Cloudflare hat auf eine Anfrage der heise-Redaktion bislang nicht geantwortet. Wir werden diese Meldung ergänzen, sobald eine Stellungnahme aus San Francisco eingeht.

Eigentlich soll Dells Backup-Appliance PowerProtect DD die Ausfallsicherheit bei Cyberattacken steigern. Aufgrund von mehreren Softwareschwachstellen können Angreifer nun aber Systeme attackieren. Dagegen stehen abgesicherte Ausgaben zum Download.

Anzeige

Wie aus einer Warnmeldung hervorgeht, finden sich die Lücken in verschiedenen Komponenten, die PowerProtect DD nutzt. Davon sind neun Schwachstellen (CVE-2022-1996, CVE-2022-32207, CVE-2022-32221, CVE-2023-38545, CVE-2023-23914, CVE-2024-23652, CVE-2024-23653, CVE-2019-14889, CVE-2022-29361 ) mit dem Bedrohungsgrad "kritisch" eingestuft. Neben aktuellen Lücken schließen die Sicherheitspatches auch ältere Lücken.

Die Schwachstellen betreffen unter anderem Apache Tomcat, curl und OpenSSL. Setzen Angreifer etwa an einer Lücke (CVE-2024-23652 "kritisch") in Buildkit an, können sie Dateien manipulieren. Durch eine Schwachstelle (CVE-2023-51257 "hoch") in Jasper kann Schadcode auf Systeme gelangen.

Darüber hinaus können Angreifer die Authentifizierung umgehen (Komponente containerd CVE-2022-1996 "kritisch") oder eigentlich verschlüsselte Daten im Klartext einsehen (Komponente curl CVE-2023-23914 "kritisch").

Die US-amerikanische IT-Sicherheitsbehörde CISA hat vier Sicherheitslücken neu in den Known-Exploited-Vulnerabilitites-Katalog aufgenommen. Dort sammelt die Behörde Schwachstellen, auf die Angriffe in freier Wildbahn beobachtet wurden. IT-Verantwortliche sollten daher prüfen, ob die dort gelisteten Sicherheitslücken in ihren Organisationen geschlossen wurden.

Anzeige

Die CISA schreibt in ihrer Ankündigung, dass jetzt Sicherheitslecks in Android, Cyberpanel, Nostromo nhttpd und Palo Alto Expedition attackiert wurden. Von zwei der genannten Schwachstellen war das bereits zuvor bekannt. Die November-Patchsammlung zum Android Patchday brachte bereits ein Update mit, das die Sicherheitslücke in der Google-Docs-Bedienoberfläche schließt und von der Google dort berichtete, dass sie angegriffen wurde (CVE-2024-43093).

In der Vorwoche wurden zudem Angriffe auf Server bekannt, auf denen Cyberpanel installiert ist. Die Cybergang Psaux steckt hinter den Attacken auf die kritische Sicherheitslücke CVE-2024-51567 und ist rund 22.000 Instanzen angegangen. Vor einer Schwachstelle in Palo Altos Migrationswerkzeug Expedition hatte der Hersteller bereits im Juli dieses Jahres gewarnt. Die Lücke mit dem CVE-Eintrag CVE-2024-5910 gilt ebenfalls als kritisch und ermöglicht die Kompromittierung von Netzwerken. Der Fehler liegt in einer fehlenden Authentifizierung, die die Übernahme des Expedition-Admin-Kontos ermöglicht.

Die vierte in Angriffen beobachtete Sicherheitslücke betrifft den Nostromo nhttpd-Server. Sie wurde bereits 2019 gemeldet, Updates zum Stopfen des Sicherheitslecks stehen seitdem bereit. In freier Wildbahn haben bösartige Akteure nun die Directory-Traversal-Lücke missbraucht, die in der Funktion http_verify der Software steckt und das Ausführen von eingeschleustem Schadcode führen kann – dazu reicht das Senden sorgsam präparierter HTTP-Anfragen (CVE-2019-16278, CVSS 9.8, Risiko "kritisch").

Auf Anraten der Geheimdienste befiehlt Kanadas Regierung die Schließung der Firma TikTok Technology Canada, Inc. Das ist eine Tochterfirma des chinesischen Bytedance-Konzerns. Solche Anordnungen sind möglich, wenn ausländische Direktinvestitionen die Nationale Sicherheit der Monarchie verletzen könnten. Wie die EU hat auch Kanada im Vorjahr Tiktok von Beamtenhandys verbannt. Private Nutzung der Videoapp bleibt in Kanada allerdings weiterhin möglich.

Anzeige

Daran soll auch die Schließung der Tiktok-Büros in Toronto und Vancouver nichts ändern. "Die Regierung sperrt den Zugriff von Kanadiern auf die Tiktok-App oder die Möglichkeit, Inhalte bereitzustellen, nicht", betont Innovationsminister François-Philippe Champagne von der Liberalen Minderheitsregierung, "Es ist eine persönliche Entscheidung, eine App oder Plattform für ein Soziales Netz zu verwenden." Eine Empfehlung ist das nicht. Der Minister verweist auf Ratschläge der IT-Sicherheitsabteilung des Geheimdienstes CSE (Communications Sercutiy Establishment", die Bürgern dabei helfen sollen, die möglichen Risiken von Kommunikationsprogrammen besser einzuschätzen.

Die Entscheidung, die Tochterfirma abwickeln zu lassen, beruhe auf einer "mehrstufigen Untersuchung (aus dem Blickwinkel) der Nationalen Sicherheit", sagt der Minister: "Die Regierung ergreift Maßnahmen, um den spezifischen Risiken für die Nationale Sicherheit entgegenzuwirken, die in Verbindung mit Bytedance' Betrieb in Kanada durch die Einrichtung von TikTok Technology Canada stehen. Diese Entscheidung basiert auf Informationen und Beweisen, die im Rahmen der Untersuchung gesammelt wurden, und dem Rat der kanadischen Geheimdienste und anderer Regierungspartner."

Tiktok kündigt in einer kurzen Stellungnahme an, gegen die Anordnung vor Gericht zu ziehen. Auf die Bedenken der Regierung geht das Unternehmen dabei nicht ein. Stattdessen weist es darauf hin, dass die Schließung der kanadischen Büros "hunderte gut bezahlte Stellen" koste. Wie viele Mitarbeiter Tiktok in Kanada genau hat, ist nicht öffentlich bekannt. Online finden sich zirka 80 Stellenangebote der Firma, doch muss nicht hinter jeder Annonce tatsächlich ein freier Arbeitsplatz stehen.

Die Endpoint-Management-Plattform HCL BigFix ist verwundbar. Admins sollten sicherstellen, dass ihre Systeme über die verfügbaren Sicherheitsupdates vor möglichen Attacken geschützt sind. Über eine "kritische" Lücke kann Schadcode auf Computer gelangen.

Anzeige

Wie aus einer Warnmeldung hervorgeht, betreffen die Softwareschwachstellen verschiedene Komponenten das WebUI. Insgesamt geben die Entwickler an, 13 Lücken geschlossen zu haben. Am gefährlichsten gilt eine Lücke (CVE-2024-38996 "kritisch") über die Angreifer Instanzen via DoS-Attacke lahmlegen können. Unter Umständen kann es sogar zur Ausführung von Schadcode kommen. In so einem Fall gelten Systeme in der Regel als vollständig kompromittiert. Wie so eine Attacke im Detail ablaufen könnte, ist derzeit nicht bekannt.

Zwei Lücken sind mit dem Bedrohungsgrad "hoch" eingestuft (CVE-2024-45590, CVE-2024-45296). An diesen Stellen können Angreifer mit präparierten Anfragen DoS-Zustände erzeugen. Die verbleibenden Schwachstellen sind mit "mittel" eingestuft. Hier können unter anderem Informationen leaken.

Ob es bereits Attacken gibt und wie Admins bereits attackierte Instanzen erkennen können, führt HCLSoftware zurzeit nicht aus. Um Systeme zu schützen, müssen Admins im WebUI sicherstellen, dass die abgesicherten Versionen der betreffenden Komponenten installiert sind:

Das FBI Atlanta hat unlängst eine Warnung herausgegeben, dass Cyberkriminelle auf Session-Cookie-Diebstahl setzen, um E-Mail-Konten zu übernehmen. Die Methode ist nicht neu, scheint aber zuzunehmen. Das Perfide daran: Auch sicherere Anmeldemethoden, etwa Passkeys oder die verschiedenen Arten der Zwei-Faktor-Authentifizierung, schützen nicht vor einer Account-Übernahme auf diesem Weg.

Anzeige

An einer Lösung für das Problem arbeitet Google schon seit einiger Zeit: Sogenannte Device Bound Session Credentials sollen künftig verhindern, dass Angreifer eine aktive Sitzung aus der Ferne übernehmen können. Die Entwicklung findet in einem öffentlichen GitHub-Projekt statt. Ziel ist die Schaffung eines offenen Webstandards. Aktive Sitzungen sollen mit Device Bound Session Credentials an das jeweilige Gerät gebunden werden. Gestohlene Cookies könnten dann nicht mehr genutzt werden, um sich aus der Ferne in einen Account einzuloggen.

Der Mechanismus erinnert ein wenig an Passkeys: Wie das Anmeldeverfahren setzt er auf Public-Key-Kryptografie: Beim Einloggen bei einem Dienst wird ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel generiert. Der private Schlüssel soll sicher auf dem jeweiligen Gerät gespeichert werden, der öffentliche Schlüssel auf dem Server des jeweiligen Webdienstes. Um den privaten Schlüssel sicher zu verwahren, wollen die Entwickler geschützte Hardwaremodule wie beispielsweise das Trusted Plattform Module (TPM) eines Windows-Rechners einspannen. Nutzer sollen einmal generierte Schlüssel jederzeit in den Browser-Einstellungen löschen können.

Bis es soweit ist, kann man sich gegen Session Cookie Diebstahl schützen, indem man sich keine Malware einfängt, die die Cookies stiehlt. Wichtig ist etwa, dass man nur über sichere Verbindungen im Netz surft und nicht auf Phishingmails hereinfällt, in denen sich etwa ein Link zum Download einer solchen Malware verbirgt. Um die Chancen weiter zu minimieren, sollte man sich immer von einem Dienst abmelden, statt einfach das Browserfenster oder den Tab zu schließen. Durch Beenden des Browsers werden aktive Sitzungen ebenfalls beendet und das Session Cookie ungültig.

Cisco hat in der Nacht zum Donnerstag 15 neue Sicherheitsmitteilungen veröffentlicht. Sie decken eine ganze Palette an Produkten ab. Darunter finden sich eine als kritisches Risiko und zwei als hochriskant betrachtete Sicherheitslücken. IT-Verantwortliche sollten prüfen, ob sie verwundbare Geräte einsetzen, und die bereitstehenden Aktualisierungen zeitnah anwenden.

Anzeige

In der Cisco Unified Industrial Wireless Software findet sich eine Schwachstelle (CVE-2024-20418), die mit einer CVSS-Einstufung 10 von 10 möglichen Punkten das höchstmögliche Risiko, "kritisch", darstellt. Sie findet sich in der webbasierten Verwaltungsoberfläche von Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Points. Nicht authentifizierte Angreifer aus dem Netz können dadurch Befehle einschleusen, die mit root-Rechten im Betriebssystem ausgeführt werden. Dazu reicht das Senden manipulierter HTTP-Anfragen an die Verwaltungsoberfläche. Für die betroffenen Catalyst IW9165D Heavy Duty Access Points, Catalyst IW9165E Rugged Access Points und Wireless Clients und Catalyst IW9167E Heavy Duty Access Points stehen Updates bereit, die das Sicherheitsleck abdichten.

In Ciscos Nexus Dashboard Fabric Controller können angemeldete Angreifer aus dem Netz, die lediglich Leserechte besitzen, zudem eine SQL-Injection-Schwachstelle in einem REST-API-Endpunkt sowie in der webbasierten Verwaltungsoberfläche missbrauchen, um beliebige SQL-Befehle auf verwundbaren Geräten zu missbrauchen. Das ermöglicht ihnen, beliebige Daten einer internen Datenbank zu lesen, verändern oder zu löschen, was "Auswirkungen auf die Verfügbarkeit" angegriffener Geräte haben kann (CVE-2024-20536, CVSS 8.8, hoch).

Ebenfalls als hohes Risiko betrachten Ciscos Entwickler eine Denial-of-Service-Lücke in Ciscos Enterprise Chat und Email. Nicht authentifiziertebösartige Akteure aus dem Netz können die Schwachstelle in der External Agent Assignment Service (EAAS)-Funktion provozieren, indem sie speziell präparierten Media Routing Peripheral Interface Manager (MR PIM)-Traffic an verwundbare Geräte senden (CVE-2024-20484, CVSS 7.5, hoch).

Microsoft hat Probleme mit gestörten Office-Apps gemeldet, die nach einem Upgrade auf Windows 11 24H2 auftreten können. Ursache dafür war Sicherheitssoftware von Crowdstrike.

Anzeige

Die bislang kaum beachtete Mitteilung von Microsoft geht bereits auf Mitte Oktober zurück. "Office-Apps können betroffen sein. Das Problem tritt auf, wenn Antimalware-Sicherheitslösungen bestimmte Funktionen aktivieren", fassen die Entwickler von Microsoft das Problem zusammen.

"Nach der Installation von Windows 11 24H2, können Microsoft- und Dritthersteller-Apps nicht mehr reagieren, wenn Antimalware-Sicherheitslösungen bestimmte Funktionen aktivieren. Office-Anwendungen wie Word und Excel können betroffen sein", schreiben die Autoren. Auf betroffenen Geräten laufe Crowdstrikes Falcon-Sensor mit der aktivierten Richtlinie "Enhanced Exploitation Visibility" in der Prevention-Richtlinie für den Host.

Die meisten betroffenen Organisationen berichteten Microsoft zufolge, dieses Verhalten nach InPlace-Upgrades und Neuinstallationen von Windows 11 24H2 beobachtet zu haben. Microsoft untersuche, ob das Problem mit vorherigen Windows-Versionen und anderer Dritthersteller-Sicherheitssoftware auftreten könne. Es seien lediglich Organisationen und IT-Umgebungen betroffen, die verwaltet werden. Nutzerinnen und Nutzer von Home- oder Pro-Versionen von Windows, die nicht von einer IT-Abteilung verwaltet werden, würden das Verhalten wahrscheinlich nicht beobachten.

"Mehr als 22.000 schädliche IP-Adressen offline genommen", feiert Interpol. Die Koordinierungseinrichtung hat Zusammenarbeit von Polizeibehörden in 95 Ländern organisiert, die fünf Monate lang gemeinsam gegen Phishing, Infostealer und Ransomware vorgegangen sind. Dabei haben sie 59 Server beschlagnahmt und 41 Personen festgenommen. Das sind annähernd 0,003 Festnahmen pro Tag und Land.

Anzeige

Zusätzlich zu den 59 Servern wurden 43 elektronische Geräte, darunter Laptops, Handys und Festplatten, beschlagnahmt, elf davon in Madagaskar. Gegen 65 weitere Personen wird noch ermittelt. Interpol nennt die Kampagne "Operation Synergia II".

Immerhin dürfte die Zahl der dabei offline genommenen (aber nicht beschlagnahmten) Server im fünfstelligen Bereich liegen. Genaue Angaben macht Interpol dazu nicht; die Organisation hebt lediglich fünf Gebiete hervor: In Hongkong wurden demnach 1.037 Server offline genommen, nebenan in Macao weitere 291. Aus Estland wird über die Beschlagnahme von "80 GByte Serverdaten" berichtet. In der Mongolei gab es 21 Hausdurchsuchungen, einen beschlagnahmten Server und 93 Verdächtige. Madagaskar zählt elf beschlagnahmte elektronische Geräte und hat ebenso viele Personen ausgemacht, die "Verbindung" zu Malware-Servern haben sollen.

Einbezogen in die Operation Synergia II waren die IT-Sicherheitsunternehmen Group-IB, Trend Micro, Kaspersky und Team Cymru. Sie haben verdächtige Aktivitäten gemeldet, die von insgesamt 30.000 IP-Adressen ausgegangen sind. Davon haben die 95 teilnehmenden Interpol-Mitgliedsstaaten zwei Drittel stillgelegt. Interpol hat 196 Mitglieder, von Afghanistan bis Vietnam. Welche davon sich beteiligt haben, sagt die Koordinierungseinrichtung nicht.

Das Landgericht Aachen hat die Berufung des von Software-Anbieter "Modern Solution" angezeigten und anschließend verurteilten Programmierers am Montag als unbegründet abgewiesen. Damit hat das Urteil der Vorinstanz Bestand. Das Urteil ist aber noch nicht rechtskräftig und die Verteidigung teilte heise online mit, in Revision gehen zu wollen (LG Aachen Az 74 NBs 34/24).

Anzeige

Der Programmierer war im Januar vom Amtsgericht Jülich zu einer Geldstrafe von 3000 Euro verurteilt worden, weil er sich im Zuge der Enthüllung einer Sicherheitslücke des unbefugten Zugriffs auf fremde Computersysteme und Ausspähens von Daten schuldig gemacht hatte (AG Jülich Az 17 Cs 55/23). Modern Solution hatte den Experten angezeigt, anstatt ihn für das Finden der Sicherheitslücke zu belohnen.

Der in diesem Fall angeklagte freiberufliche IT-Dienstleister hatte im Juni 2021 für einen Kunden die Software der Gladbecker Firma Modern Solution wegen eines Datenbankfehlers untersucht. Dabei entdeckte er eine gravierende Sicherheitslücke, die den Zugriff auf persönliche Daten von knapp 700.000 Online-Shop-Kunden ermöglichte. Der Programmierer veröffentlichte die Existenz der Sicherheitslücke, nachdem diese durch die Firma behoben worden war, mithilfe eines in der E-Commerce-Branche einschlägigen Blogs. Einige Monate später durchsuchte die Polizei seine Geschäftsräume und beschlagnahmte sein Arbeitsmaterial.

Das Amtsgericht Jülich hatte den Fall 2023 zuerst abgelehnt. In der von der Staatsanwaltschaft Köln eingelegten Berufung entschied das Landgericht Aachen, dass die Richter in Jülich den Fall neu zu verhandeln hätten. In der Verhandlung Anfang des Jahres wollte die Staatsanwaltschaft dem Angeklagten nachweisen, mit einem Dekompilierer ein Passwort aus der Modern-Solution-Software extrahiert zu haben.

Beim Industrietechnologie-Unternehmen Schneider Electric kam es offenbar zu einem Cybervorfall. Kriminelle geben an, in die IT-Systeme des Unternehmens eingebrochen zu sein und dort große Mengen an Daten entwendet zu haben. Sie fordern Lösegeld.

Anzeige

Im Darknet hat die kriminelle Gruppierung Hellcat eine Lösegeldforderung an Schneider Electric gestellt. Hier gewünschte Währung: Baguettes.

(Bild: Screenshot / dmk)

Im Darknet-Auftritt der kriminellen Online-Gruppe Hellcat haben die Täter eine Lösegeldforderung veröffentlicht. Demnach haben sie Zugriff auf das Atlassian-Jira-System von Schneider Electric erlangt und daraus kritische Daten, einschließlich Projekten, Problemen und Plug-ins sowie 400.000 Datenbankzeilen an Nutzerdaten mit einem Gesamtumfang von mehr als 40 GByte an komprimierten Daten abgezogen.

Eine neuartige Angriffskette haben IT-Forscher von Securonix entdeckt. Die Malware besteht dabei aus einer emulierten Linux-Umgebung, die die Angreifer als Backdoor auf kompromittierte Systeme installieren.

Anzeige

Wie die Securonix-Mitarbeiter in einer detaillierten Analyse beschreiben, setzen die Angreifer auf einer QEMU-Linux-Box auf, um Persistenz auf den Endpoints zu erlangen, in die sie einbrechen konnten. Der Angriff selbst erfolgt dabei mit Phishing-E-Mails, die Opfer zum Herunterladen und Ausführen der Malware verleiten sollen.

Die Analyse startet bei einer Phishing-Kampagne, die eine bösartige .lnk-Datei verteilt. Bei der Ausführung entpackt die Datei eine leichtgewichtige, angepasste Linux-Umgebung, die in einer QEMU-Emulation läuft. Die kommt mit einer vorkonfigurierten Backdoor daher, die sich auf einen von den Angreifern kontrollierten Command-and-Control-Server (C2) verbindet. Das erlaube den Angreifern, versteckt auf den Maschinen der Opfer aktiv zu bleiben und weitere bösartige Aktionen in der verdeckten Umgebung auszuführen – deren Erkennung durch Antivirensoftware dadurch massiv erschwert werde. Insbesondere, da QEMU in der Softwareentwicklung und Forschung häufig anzutreffen sei, löst dessen Anwesenheit keinen Sicherheitsalarm aus, erörtert Securonix.

In ihrer Analyse gehen die IT-Forscher in die Details. Vermutlich stehen Opfer in den USA im Fokus, da die entdeckten Phishing-E-Mails einen Link auf eine ZIP-Datei enthielten, die auf eine Umfrage hindeute. Die ZIP-Datei und der enthaltene Shortcut hießen "OneAmerica Survey.zip" respektive "OneAmerica Survey.lnk". Der Umfang der ZIP-Datei war mit 285 MByte ungewöhnlich groß für ein Phishing-Dokument. Nach dem Entpacken des ZIPs bleibt ein Verzeichnis "data" mit dem vollständigen QEMU-Installationsverzeichnis und die Verknüpfung "OneAmerica Survey". Die .lnk-Datei ruft die Powershell auf und führt einen einfachen Befehl aus, der die ZIP-Datei in ein Verzeichnis im Benutzerverzeichnis extrahiert und schließlich die Datei "start.bat" aus diesem neuen Unterverzeichnis startet.

Wer Googles Cloud Platform (GCP) nutzt, benötigt zur Anmeldung neben seinem Passwort demnächst noch einen Code. Um Accountübernahmen durch Angreifer einzudämmen, will Google das Anmeldeverfahren härten und auf eine obligatorische Multi-Faktor-Authentifizierung (MFA) umstellen. Der Prozess startet ab sofort und soll im Laufe des Jahres 2025 für jeden Cloud-Nutzer verpflichtend sein.

Anzeige

Das geht aus einem aktuellen Blogbeitrag von Google hervor. Ab sofort sollen Hinweise in der Google-Cloud-Konsole auf MFA aufmerksam machen und ausführen, warum die Umstellung für die Sicherheit von Konten wichtig ist.

Hat ein Angreifer derzeit Zugriff auf Log-in-Daten, kann er einen Account vergleichsweise einfach kapern. Ist MFA aktiv, reicht die alleinige Eingabe eines Passworts nicht mehr aus, um auf ein Konto zuzugreifen. Für den Zugriff ist dann zusätzlich ein MFA-Code nötig, den etwa eine Authenticator-App erzeugt. Demzufolge kann ein Angreifer ein Passwort kennen, das Einloggen ist aber ohne den MFA-Code nicht möglich.

Anfang 2025 will Google mit dem Rollout von MFA für existierende Konten starten. Neue Nutzer können ab dann nur noch Accounts mit MFA erstellen. Bis zum Ende des Jahres 2025 soll das Anmeldeverfahren für alle Cloud-Nutzer verpflichtend sein. Google gibt an, dass sie mit Geschäftskunden und Identitätsprovidern zusammenarbeiten, um die MFA-Umstellung so reibungslos wie möglich zu gestalten. Derzeit sollen bereits rund 70 Prozent der Cloud-Kunden MFA nutzen.

Der zweitägige Online-Workshop Windows 11 im Unternehmen absichern zeigt, wie Sie die Betriebssysteme Windows 11 Pro und Enterprise sicher im Unternehmensnetz betreiben. Dabei werden sowohl klassische On-Premise-Installationen von Windows 11 als auch hybride Modelle in Kombination mit Entra ID und Microsoft Endpoint Manager (Intune) berücksichtigt.

Anzeige

Anhand praktischer Demonstrationen typischer Bedrohungsszenarien lernen Sie Schwachstellen und die typischen Werkzeuge von Angreifern kennen und stellen diesen konkrete Härtungs- und Schutzmaßnahmen gegenüber. Microsoft bietet hierfür sinnvolle Sicherheitsfunktionen an, die jedoch nicht automatisch aktiv sind, sondern erst konfiguriert werden müssen. In diesem Workshop lernen Sie, wie Sie die Sicherheitsmechanismen und -tools einsetzen, um Ihre Systeme abzusichern. Dieser Workshop bietet viel Raum für Fragen und Austausch.

Referent Christian Biehler ist Experte für Informationsmanagement und IT-Sicherheit. Seine Themenschwerpunkte sind die Sicherheit von Netzwerken und Anwendungen sowohl in klassischen On-Premise-Umgebungen als auch im hybriden Windows-Umfeld.