Comretix Blog

Anzeige

Die Auswertung von Bildinhalten zur Personalisierung von Werbeinhalten ist tief in modernen Fernsehern verankert. Nicht nur App-Entwickler bauen Tracking in ihre Angebote ein – auch die Smart-TV-Hersteller werten umfassend das Nutzungsverhalten aus.

Das Werbe-Tracking bei Smart-TVs ist an sich ein alter Hut. Eine neue Untersuchung britischer, spanischer und kalifornischer Universitäten beschäftigt sich allerdings mit dem Ausmaß auf Betriebssystemebene und den Unterschieden zwischen verschiedenen Nutzungsszenarien, etwa ob eine Streaming-App läuft oder eine Spielkonsole angeschlossen ist. Exemplarisch dient je ein Gerät von Samsung und LG – andere Hersteller sammeln allerdings ebenfalls Daten und dürften ähnlich vorgehen.

Die gute Nachricht vorab: Sämtlicher Analyse-Traffic lässt sich über die Datenschutz- und Privatsphäre-Einstellungen in den TV-Menüs unterbinden, die man meistens aber manuell vornehmen muss (Opt-out). Die Untersuchung bestätigt, dass die Fernseher dann nicht mehr nach Hause telefonieren. Wo diese Optionen versteckt sind, unterscheidet sich nach Hersteller und teilweise Modell. Im Zweifelsfall hilft die Bedienungsanleitung weiter.

Die grundlegende Technik heißt Automatic Content Recognition (ACR): Smart-TVs erstellen regelmäßig Hashes aus den sicht- und teilweise hörbaren Inhalten, Fingerprints beziehungsweise Fingerabdrücke genannt. Diese Hashes werden verschlüsselt in die Hersteller-Clouds geladen und serverseitig mit einer Datenbank aus vorrangig Filmen, Serien und Spielen abgeglichen. Bei einem Match weiß der Hersteller, was der Nutzer gerade schaut oder spielt. Einerseits kann der Hersteller damit selbst passende Werbung in der Oberfläche einblenden, andererseits sind die Erkenntnisse auch für Werbeabkommen nützlich.

Auf der IT-Sicherheitsmesse it-sa hat das BSI erstmals die Neuauflage des IT-Grundschutzes vorgestellt: BSI-Präsidentin Claudia Plattner kündigte die Revision in der Pressekonferenz zur Messe an und bei einer Extraveranstaltung im Rahmen der Messe stellten die Mitarbeiter des IT-Grundschutz-Teams die Details des IT-Grundschutz++ vor. Die Kompendien des IT-Grundschutzes bietet Behörden und Unternehmen einen Leitfaden für den Aufbau eines Informationssicherheits-Managementsystems (ISMS), womit Unternehmen und Behörden ihre Sicherheitsbemühungen strukturiert angehen. Ein auditiertes ISMS ist dabei eine Grundlage für Sicherheitszertifizierungen wie die ISO 27001. Stichtag für die Neuauflage ist der 1. Januar 2026.

Anzeige

Ziel des BSI ist es, den Grundschutz anwenderfreundlicher zu machen und insbesondere bei der Dokumentation Aufwand und Redundanz zu verringern. Dafür setzt das BSI beim IT-Grundschutz++ auf eine maschinenlesbare Syntax der Bausteine des Grundschutzes als JSON-Objekte, die man dann zum Beispiel auch über Git einfacher verbreiten oder aktualisieren kann. Für eine Messbarkeit der Umsetzung des Grundschutzes arbeitet der IT-Grundschutz++ mit Punktzahlen in den Kategorien Vertraulichkeit, Integrität und Verfügbarkeit für die Bausteine, die in Zukunft Praktiken heißen. Wichtig sind hierbei die Priorität und die Wertigkeit der Maßnahmen. Die Praktiken selbst fallen in fünf Stufen, die sich in "Kann jeder machen" bis "Erhöhter Schutzbedarf" unterteilen. IT-Sicherheit auf dem "Stand der Technik" ist dabei die vierte Stufe. Auf jeder dieser Stufen können Behörden und Unternehmen dann ihren Fortschritt messen, für die Zertifizierung will das BSI noch Schwellenwerte erarbeiten.

Beim aktuellen Grundschutzkompendium arbeitet das BSI derzeit noch an Erweiterungen für KI- und Cloudanwendungen. Diese sollen ebenfalls bis 2026 in den Leitfaden des BSI einfließen. Behörden und Unternehmen, die den Grundschutz aktuell umsetzen, können den dann alten Grundschutz jedoch erst einmal parallel zur neuen Version weiterverfolgen: Das BSI verspricht hier eine mehrjährige Übergangsfrist.

Vorbild für das vereinfachte Umsetzen des IT-Grundschutz++ ist das Projekt Weg in die Basissicherung (WiBA), das seit 2023 Kommunen helfen soll, die nicht durch die Anforderungen des IT-Grundschutzes durchsteigen. Der WiBA soll sukzessiv zum Grundschutz führen und reduziert die aktuell 111 Bausteine auf 67 Bausteine in 19 Checklisten, die eine Aufwandsschätzung für Quick-Wins enthält – der Anspruch ist "Wenig Aufwand, viel Effekt". Dafür bietet der WiBA eine Erklärung der Vorgehensweise, eine empfohlene Reihenfolge, ein Management Summary, das der Institutsleitung die Konzepte und die Relevanz erläutert, und Excel-Listen sowie ein Tool, damit man nicht ausschließlich mit Word-Listen arbeiten muss. Auch eine Lightvariante für Feuerwehren existiert mittlerweile.

Die Entwickler des Tor Browsers haben die vierzehnte Version der Software veröffentlicht. Sie behebt Dutzende Fehler und aktualisiert die Browser-Engine auf Firefox ESR 128. Um das zu leisten, mussten die Tor-Entwickler einen umfangreichen Audit absolvieren. Auch unter Android hat sich einiges getan: Die App wird schlanker und neue Identitäten sind mit wenigen Fingerzeigen angefordert.

Anzeige

Der Tor Browser ist die wohl simpelste Möglichkeit für Anwender, das anonymisierende Netzwerk zu nutzen und sogenannte "hidden services" im Darknet über deren onion-Adresse abzurufen. In seinem Kern basiert der Browser auf Firefox ESR (Extended Support Release), den die Tor-Entwickler weiter anpassen, um ihn weniger geschwätzig zu machen. So modifiziert der Tor Browser die verräterische "User Agent"-Kennung, enthält standardmäßig die Erweiterung "Noscript" zur Unterdrückung neugieriger Skripte und blockiert unsichere oder zum Tracking geeignete Funktionen in drei Sicherheitssstufen.

Der Tor Browser erlaubt Nutzern, schnüffelnde Skripte und Web-Elemente in drei Sicherheitsstufen einzuschränken.

(Bild: heise security / cku)

Riesige Bot-Netze aus Routern, Kameras, NAS und anderen Gerätschaften sind eine akute Bedrohung für die IT. Sind Sie sich sicher, dass da nicht auch eines der Geräte aus Ihrem Netz bereits unter fremder Kontrolle ist? IoT-Geräte haben eine permanente Netzwerk-Anbindung und strotzen oft nur so von trivial auszunutzenden Sicherheitslücken. Patches gibt es nicht und wenn doch, dann finden sie nur selten ihren Weg auf die bereits aktiven Geräte. Das macht sie zum idealen Einfallstor oder Brückenkopf für Cybercrime. Andererseits bieten die smarten Geräte so vielfältigen Nutzen, dass sie längst zum Alltag gehören.

Anzeige

Damit bleibt es an Admins und Sicherheitsverantwortlichen, die davon ausgehende Gefahr irgendwie in den Griff zu bekommen. Dieses halbtägige heise security XXL Webinar vermittelt nicht nur das dafür nötige Wissen; die Referenten geben auch ganz konkrete, praxistaugliche Tipps und Anleitungen, wie Sie mit der Gefahr durch IoT-Geräte sinnvoll umgehen. Dabei schöpfen Dennis Heinze und Frieder Steinmetz aus ihrem Fundus langjähriger Erfahrung im Bereich Pen-Testing und IoT-Hacking.

Das Webinar zeigt die typischen Schwachstellen auf und gibt praktische Tipps, wie Sie auch ohne ausgiebiges Pen-Testing das von einem Gerät ausgehende Gefahren-Potenzial quantifizieren können. Das mündet in eine Check-Liste für das Evaluieren existierender oder demnächst anzuschaffender Geräte. Und schlussendlich stellen die Referenten die nötigen Konzepte und Architekturen vor, die einen verantwortungsbewussten Betrieb potenziell unsicherer Geräte ermöglichen und geben praxistaugliche Empfehlungen für den Umgang mit Altlasten.

Das XXL Webinar findet statt am 30. Oktober 2024 und dauert circa drei Stunden, in denen auch viel Raum für Fragen der Teilnehmer vorgesehen ist. Wie bei allen heise security Events ist die Veranstaltung komplett werbefrei und unabhängig. Sie richtet sich vor allem an Administratoren und Sicherheitsverantwortliche in Unternehmen und Behörden aller Größen. Die Teilnahme kostet regulär 295 Euro. Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen (ihr erhaltet die Informationen dazu wie üblich über den exklusiven Security-Newsletter und im neuen PRO-Forum).

"Das Ausmaß wesentlicher Verletzungen der IT-Sicherheit herunterzuspielen, ist eine schlechte Strategie. " Das schreibt Jorge G. Tenreiro von der US-Kapitalmarktbehörde SEC börsennotierten Firmen ins Stammbuch. Die Behörde hat gerade Unisys, Avaya, Check Point und Mimecast bestraft, weil sie die Auswirkungen von Angriffen über Solarwinds Orion kleingeredet haben. Tenreiro ist amtierender Leiter der Crypto Assets and Cyber Unit (CACU) der SEC (Securities Exchange Commission).

Anzeige

Mutmaßlich staatlichen Hackern Russlands ist es 2019 gelungen, SolarWinds' Orion-Plattform zu kompromittieren und einen Trojaner in offizielle Updates einzuschmuggeln. SolarWinds vertreibt Netzwerk- und Sicherheitsprodukte, die damals mehr als 300.000 Kunden weltweit eingesetzt haben. Darunter befinden sich viele Fortune 500-Unternehmen, Regierungsbehörden wie das US-Militär, das Pentagon und das Außenministerium. Durch das Einspielen der Updates wurden ihre Systeme ab März 2020 kompromittiert. Ende 2020 entdeckte Fireeye die Hintertüren. Im Februar 2021 sprach Microsoft-President Brad Smith vom "größten und raffiniertesten Angriff, den die Welt je gesehen hat".

Unisys muss mit vier Millionen US-Dollar die höchste Strafe zahlen, weil die Behörde dort eine weitere Verfehlung entdeckt hat: Die interne Aufsicht über die rechtlich vorgeschriebenen Mitteilungen an Aktionäre, Gläubiger und potenzielle Investoren war mangelhaft. Das trägt laut SEC mit Schuld daran, dass Unisys seine IT-Sicherheitsrisken als rein hypothetisch beschrieben hat, obwohl Solarwinds-Einbrecher sich nicht nur einmal, sondern bereits zweimal Zugriff auf Unisys-Systeme verschafft und Daten exfiltriert hatten.

Avaya zahlt eine Million Dollar. Das auf Dienstleistungen rund um Unified Communications spezialisierte Unternehmen hat zwar zugestanden, dass die Täter eine "beschränkte Zahl an E-Mails der Firma" abgerufen haben. Leider vergaß Avaya zu erwähnen, dass sich die Einbrecher auch an mindestens 145 Dateien im cloudbasierten Filesharing zu schaffen gemacht haben.

Offenbar haben Cyberkriminelle bemerkt, dass sie die Taktiken, die sie auf anderen Plattformen fahren, auch auf Apple-Systeme anwenden können. Sicherheitsforscher der Firma Trend Micro haben macOS-Malware entdeckt, die in der Lage ist, Dateien zu sperren und Daten zu exfiltrieren. Bisher gab es Ransomware, die auf macOS abzielt, bestenfalls als Proof of Concept, schlechtestenfalls tat sie nicht, was sie sollte.

Anzeige

Nach erfolgter Verschlüsselung der Dateien auf dem System gab sich die Malware per geändertem Desktop-Banner als LockBit-Ransomware aus. Offenbar stammte die Schadsoftware jedoch nicht von der bekannten Ransomware-Gruppe, auch wenn einer der erfolgreicheren unter den vorangegangenen Versuchen, Ransomware für macOS zu entwickeln, tatsächlich von LockBit stammte. Das Wallpaper zeigte die Aufschrift LockBit 2.0, die Schadsoftware der Gruppierung liegt allerdings schon seit Längerem in Version 3.0 vor und die Entwickler wurden gefasst. Hinter dem jetzt entdeckten Sample scheint ein anderer Akteur zu stecken, der nur den Namen der bekannteren Gruppierung nutzt.

Geschrieben ist die Ransomware laut der Forscher in der von Google entwickelten Programmiersprache Go. Sie wird als x86_64-Binärdatei verteilt, was bedeutet, dass sie nur auf Macs mit Intel-Prozessor läuft – oder auf Apple Silicon Macs, auf denen die Rosetta Emulation Software installiert ist.

Forscher der Firma Sentinel, die das Thema auf ihrem Blog aufgreifen, schlagen den Namen macOS.NotLockBit für die Schadsoftware vor. Sie haben zusätzlich zu den bereits von anderen Forschern identifzierten eine Reihe weiterer sogenannter Mach-O-Dateien gefunden. Mach-O ist ein spezielles Dateiformat für Programme, Objektcode und dynamische Bibliotheken, das in macOS verwendet wird. In einem Blogpost haben sie sogenannte Indicators of Compromise (IoC) untersucht. Anhand solcher Hinweise lässt sich im Allgemeinen überprüfen, ob eigene Systeme befallen sein könnten.

Symantec ist bei der Untersuchung populärer Apps auf hartkodierte und unverschlüsselte Zugangsdaten zu Cloud-Diensten in der Codebasis gestoßen. Dadurch könne jeder mit Zugriff auf die App-Binary oder die Quellen dazu diese Zugangsdaten extrahieren und sie missbrauchen, um Daten zu manipulieren oder exfiltrieren. Das führe zu ernst zu nehmenden Sicherheitsverstößen.

Anzeige

In einem Blog-Beitrag analysieren Symantecs IT-Forscher mehrere beispielhafte Apps. Dabei konzentrieren sie sich auf solche, die hartkodierte Zugangsdaten zu Amazon Web Services (AWS) und Microsoft Azure Blob Storage enthalten.

Die Android-App "Pic Stitch: Collage Maker" kommt auf mehr als fünf Millionen Installationen im Play Store und enthält Zugangsdaten zu AWS. Zudem findet sich das Problem auch in drei populären iOS-Apps, etwa "Crumbl", "Eureka: Earn Money for Surveys" und "Videoshop - Video Editor". "Crumbl" hat im Apple-Store knapp vier Millionen Bewertungen erhalten und steht auf Platz fünf der Kategorie "Essen und Trinken". Die darin gespeicherten Klartext-Zugangsdaten lassen sich zur Konfiguration von AWS-Diensten nutzen, was Missbrauch Tür und Tor öffne. Die verwendete URL als API-Endpunkt zu IoT-Diensten in AWS erleichtere Angriffe wie das Abfangen und Manipulieren von Kommunikation und schließlich unautorisierten Zugriff zu den damit verbundenen AWS-Ressourcen, erörtern Symantecs Mitarbeiter. Die "Eureka"-App hat immerhin mehr als 400.000 Bewertungen vorzuweisen, die "Videoshop"-App hingegen mehr als 350.000.

Aber auch Zugangsdaten zu Azure-Cloud-Diensten finden sich in Apps. Etwa die Android-App "Meru Cabs" wurde mehr als fünf Millionen Mal aus dem Google Play Store heruntergeladen. Die darin eingebetteten Verbindungs-Zeichenketten und Zugangsschlüssel würden kritischen Cloud-Speicherplatz offenlegen und potenziellem Missbrauch aussetzen. Am Ende der Meldung hat Symantec eine Tabelle mit App-Namen, deren Download-Anzahl respektive Bewertungsanzahl und zu welchem Cloud-System Zugangsdaten enthalten sind, gesammelt.

Nachdem Botnetze der Bumblebee-Malware nach einer großangelegten gemeinsamen Operation von Sicherheitsbehörden mehrerer Länder im Mai vorerst vom Netz genommen worden waren und die Malware vorerst von der Bildfläche verschwunden war, ist sie jetzt offenbar wieder aufgetaucht. Das berichten Sicherheitsforscher der Firma Netskope.

Anzeige

Die von Netskope entdeckte Bumblebee-Infektion beginnt mutmaßlich mit einer Phishing-E-Mail, die eine ZIP-Datei mit einer LNK-Datei namens "Report-41952.lnk" enthält. Sobald sie ausgeführt wird, startet sie die Angriffskette und lädt den Schadcode direkt aus dem Netz in den Speicher. In den von den Forschern analysierten Beispielen war diese als Installationsprogramm von Midjourney oder Nvidia getarnt. Weil sie die Erstellung neuer Prozesse vermeidet, ist diese neue Version der Malware laut der Forscher noch unauffälliger zuvor. Die Forscher haben eine Liste mit sogenannten Indicators of Compromise (IoC) auf GitHub veröffentlicht, anhand der sich überprüfen lässt, ob eigene Systeme befallen wurden.

Die nach dem sympathischen Insekt benannte Malware war im März 2022 erstmals von Googles Threat Analysis Group (TAG) gesichtet worden, sie nutzte den Namen "Bumblebee" als Teil des User-Agents im Referer. Damals stellten IT-Sicherheitsexperten erstmals fest, dass Cyberkriminelle, die vormals vornehmlich eine andere Malware namens BazarLoader oder alternativ IcedID nutzten, vielfach auf den Bumblebee-Loader umgestiegen waren. Derartige Malware wird auch Dropper genannt. Dabei handelt es sich um ein Paket mit einem Virus, der ein System befällt, um dann weitere Schadsoftware nachzuladen. Der Dropper dient dabei quasi als Träger für das Virus. Es wird davon ausgegangen, dass der Bumblebee-Loader von der Trickbot-Ransomware-Gruppe entwickelt wurde, um bei Ransomware-Angriffen initialen Zugriff auf die Infrastruktur ihrer Opfer zu erlangen.

Im Jahr 2023 kam die Bumblebee-Malware dann in Malvertising-Kampagnen zum Einsatz. Die Angreifer haben damit trojanisierte Installationsprogramme für professionelle Software angeboten. Diese Malware-Pakete haben sie mittels SEO-Poisoning und Malvertising auf Suchmaschinen platziert.

Vor zwei Wochen hat der Bundestag erstmals über das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz beraten. Fachleute gehen davon aus, dass die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) im Frühjahr 2025 in Deutschland in Kraft tritt – eigentlich endete die Umsetzungsfrist am 18. Oktober 2024.

Anzeige

Betroffene Unternehmen müssen ein Informationssicherheitsmanagementsystem (ISMS) einführen, technische Maßnahmen zur Erhöhung der Cybersicherheit treffen sowie Notfallpläne, Risikomanagement und Business Continuity Management implementieren. Bei Cybervorfällen bestehen Meldepflichten, außerdem nimmt NIS2 die Geschäftsführung für die IT-Sicherheit in die Pflicht.

NIS2 erweitert den Kreis der regulierten Unternehmen über kritische Infrastrukturen hinaus: Rund 29.000 Unternehmen in Deutschland unterliegen der NIS2-Regulierung. Indirekt betroffen sind zudem Zulieferer und Dienstleister dieser Unternehmen, denn NIS2 erfordert auch Maßnahmen zur Absicherung der Lieferkette.

In der Online-Konferenz NIS2 – was jetzt zu tun ist erläutern erfahrene IT-Recht- und Cybersecurity-Spezialisten welche Unternehmen betroffen sind, welche konkreten Anforderungen NIS2 stellt und welche Maßnahmen in welchen Fristen umzusetzen sind. Teilnehmende erfahren zudem, wie NIS2 mit etablierten Sicherheitskonzepten wie ISO 27001 und IT-Grundschutz zusammenspielt, was NIS2 für den Umgang mit Cybervorfällen bedeutet und wie sich die Richtlinie auf Zulieferer und IT-Dienstleister auswirkt.

In Firewall-Produkten von Cisco klaffen teils kritische Sicherheitslücken. Der Hersteller hat nun zahlreiche Sicherheitsmitteilungen mit zugehörigen Softwareaktualisierungen veröffentlicht, die die Probleme korrigieren sollen.

Anzeige

Auf der Übersichtsseite von Cisco zu Schwachstellenmeldungen haben die Entwickler in der Nacht zum Donnerstag 37 Mitteilungen eingestellt, lediglich eine davon aktualisiert eine Meldung aus dem November 2023. Drei der Sicherheitsmeldungen behandeln als kritisches Risiko eingestufte Sicherheitslücken, elf solche mit hohem Risiko, 21 als mittleren Bedrohungsgrad eingestufte Schwachstellen und eine weitere Meldung hat informativen Charakter ohne Risikobewertung.

Die Schwachstellen betreffen etwa Ciscos Firepower Threat Defense Software, die Secure Firewall Management Center-Software oder die Adaptive Security Appliances von Cisco. IT-Verantwortliche sollten prüfen, ob sie verwundbare Produkte einsetzen und bereitstehende Aktualisierungen anwenden oder gegebenenfalls verfügbare Workarounds anwenden.

Die Auflistung der als kritisch respektive hochriskant eingestuften Sicherheitsmitteilungen:

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel Active Directory: Effiziente Absicherung lernen Sie die wichtigsten Angriffstechniken wie Pass the Hash und Delegierungsschwachstellen kennen. Sie erfahren, wie Sie mit Werkzeugen wie PowerView und Bloodhound sowie Audit-Tools wie PingCastle Fehlkonfigurationen und Schwachstellen in Ihrem lokalen AD identifizieren und anschließend beheben, um das Herzstück Ihrer IT effektiv gegen Angriffe zu schützen.

Anzeige

Referent des zweitägigen Workshops ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München.

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Angriffe auf und Absicherung von Entra ID.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf eine Sicherheitslücke in Microsofts Sharepoint-Server. Updates zum Schließen der missbrauchten Schwachstelle stehen bereit, die IT-Verantwortliche spätestens jetzt installieren sollten.

Anzeige

Die CISA schreibt in einer Mitteilung, dass sie die Schwachstelle CVE-2024-38094 in den Known-Exploited-Vulnerabilities-Katalog aufgenommen hat. Wie die Angriffe aussehen, die auf die Lücke beobachtet wurden, oder in welchem Ausmaß sie vorkommen und wie IT-Verantwortliche Attacken darauf erkennen können, erörtert die Behörde – wie üblich – nicht.

Bei der Sharepoint-Sicherheitslücke handelt es sich um eine nicht näher erläuterte "Deserialisierung nicht vertrauenswürdiger Daten", wie Microsoft in einer eigenen Sicherheitsmitteilung schreibt. "Authentifizierte Angreifer mit Site-Owner-Berechtigung können die Schwachstelle missbrauchen, um beliebigen Code einzuschleusen und diesen Code im Kontext des Sharepoint-Servers ausführen", schreiben die Redmonder Entwickler, und ordnen dem Leck mit einem CVSS-Wert von 7.2 ein hohes Risiko zu. "Ein Missbrauch ist eher wahrscheinlich", findet sich als Einschätzung in Microsofts Mitteilung.

Betroffen sind die Microsoft Sharepoint Server Subscription Edition, der Microsoft Sharepoint Server 2019 sowie Microsoft Sharepoint Enterprise Server 2016, gibt Microsoft in dem Advisory an. Der CVE-Eintrag listet noch genauer betroffene Build-Nummern auf, der Sharepoint Enterprise Server 2016 ist von Version 16.0.0 bis vor Fassung 16.0.5456.1000 anfällig, der Sharepoint Server 2019 von 16.0.0 bis vor Version 16.0.10412.20001 und die Subscription Edition von 16.0.0 bis vor Stand 16.0.17328.20424, wobei die jeweils letzteren die Lücken schließen.

Fortinet hat eine Sicherheitsmitteilung zu einer kritischen Sicherheitslücke in Fortimanager veröffentlicht. Es handelt sich um die Sicherheitslücke, die die Anfang der Woche bekannt gewordenen Aktualisierungen für Fortimanager abdichten. Sie werden bereits von Cyberkriminellen im Internet angegriffen, warnt nun auch die US-amerikanische Cybersicherheitsbehörde CISA, die die Lücke in den Known-Exploited-Vulnerabilities-Katalog aufgenommen hat.

Anzeige

Fortinet als registrierte CVE Numbering Authority (CNA) hat einen CVE-Eintrag für die Sicherheitslücke angelegt und veröffentlicht, CVE-2024-47575, mit einem CVSS-Wert von 9.8 als kritisches Risiko eingestuft. "Eine fehlende Authentifizierung in einer kritischen Funktion in Fortimanager [...] ermöglicht Angreifern, beliebigen Code oder beliebige Befehle mittels sorgsam präparierter Anfragen auszuführen", beschreibt der Hersteller die Sicherheitslücke.

Das CERT-Bund des BSI stuft die Sicherheitslücke abweichend sogar als maximal kritisch ein, mit einem CVSS-Wert von 10.0. Die Fortinet-Entwickler haben derweil einige Informationen zur Schwachstelle in einer Sicherheitsmitteilung gesammelt. Dort präzisiert das Unternehmen, dass die fehlende Authentifizierung den fgfmd-Daemon betreffen. Laut einer Erläuterung vom IT-Sicherheitsforscher Kevin Beaumont dient der Dienst dazu, FortiGate-Appliances im FortiManager zu registrieren.

Er sieht weitere Fehler in der Implementierung: Standardmäßig können sich beliebige Geräte, auch solche mit unbekannter Seriennummer, am FortiManager registrieren und zum verwalteten Gerät werden. Lediglich ein gültiges Zertifikat muss ein Client vorweisen, wobei ein beliebiges einer FortiGate-Appliance genutzt werden kann, was keine echte Hürde darstelle. Nach der Registrierung kommt eine Schwachstelle auf dem FortiManager selbst zum Tragen, die Angreifern das Ausführen beliebigen Codes erlaubt, über die "gefälschte" FortiGate-Verbindung. Da der FortiManager weitere FortiGate-Firewalls verwaltet, können Angreifer auf diese zugreifen, Konfigurationen einsehen, verändern oder Zugangsdaten übernehmen. Beaumont ergänzt, dass Managed Service Provides oftmals FortiManager einsetzen und Angreifer so in Netzwerke derer Kunden eindringen können.

Sicherheitslücken in der Bibliothek OpenSSL betreffen meist das gesamte Internet. Schließlich dient die Sammlung von Verschlüsselungsfunktionen vielen Anwendungen als Grundlage für Protokolle wie HTTPS. Dass das Projekt für eine Sicherheitslücke mit Potenzial zur Code-Ausführung vorerst keine Patches veröffentlicht, lässt aufhorchen. Tatsächlich haben die Entwickler gute Gründe – die Warnungen anderer Sicherheitsteams sind hingegen aus formalen Gründen alarmistischer.

Anzeige

Der Sicherheitshinweis des OpenSSL-Entwicklerteams, der kürzlich auf verschiedenen Mailinglisten auftauchte, las sich wie ein Routinefall. Durch die Wahl bestimmter Parameter bei der Verschlüsselung mit einer speziellen Gruppe elliptischer Kurven entsteht unter Umständen ein Szenario, in dem unzulässige Lese- und Schreiboperationen im Hauptspeicher zu Abstürzen führen können. Auch die Ausführung von Schadcode können die OpenSSL-Entwickler nicht ausschließen.

Das Risiko der Lücke mit der CVE-ID CVE-2024-9143 schätzten sie als niedrig ein, weil der Fehler schwierig auszunutzen sei. Nur Anwendungen, die exotische Parameter für die elliptische Kurve (GF(2m)) aus Nutzereingaben verwenden, sind theoretisch angreifbar – das OpenSSL-Team sah daher davon ab, Notfallpatches für die Lücke zu veröffentlichen. Sie besteht in den OpenSSL-Versionen 3.3, 3.2, 3.1., 3.0, 1.1.1 und 1.0.2 und soll in den bisher nicht erschienenen Versionen 3.3.3, 3.2.4, 3.1.8, 1.0.16, 1.1.1zb und 1.0.2zl behoben werden.

Sowohl der Linux-Distributor SuSE als auch das Computer Emergency Response Team für Bundesbehörden (CERT-Bund) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzten die Risiken jedoch anders ein: SuSE vergab einen CVSS-Wert von 7 (Risiko: hoch), CERT-Bund gar 8,1 von 10 Punkten. Auf die Diskrepanz angesprochen, erklärte Johannes Segitz aus dem SuSE-Sicherheitsteam gegenüber heise Security, die CVSS-Skala tue sich mit der Angriffswahrscheinlichkeit schwer. Sie gehe stets von einem Worst-Case-Szenario aus, was den hohen Punktwert erkläre.

Apple möchte die Laufzeit von TLS-Zertifikaten ab 2027 auf zehn Tage begrenzen. Das hat der Konzern dem CA/Browser Forum vorgeschlagen. Die Zertifikate werden zur Verschlüsselung der HTTPS-Verbindungen zwischen Webserver und Client verwendet. Eine Verkürzung der Laufzeit würde, so die Befürchtung vieler Kritiker, Prozesse zur Verlängerung erschweren – Befürworter pochen hingegen auf nachweisbare Sicherheitsgewinne.

Anzeige

TLS- oder SSL-Zertifikate, die formal X.509-Zertifikate heißen, sind derzeit maximal dreizehn Monate (398 Tage) gültig, die häufig verwendeten kostenlosen Zertifikate von "Let's Encrypt" lediglich 90 Tage. Server-Administratoren, die auf Let's Encrypt setzen, verwenden zur Erneuerung daher häufig automatisierte Werkzeuge, die auf dem ACME-Protokoll (Automatic Certificate Management Environment) aufbauen. Solche Automatismen sind weniger fehlerträchtig als händische Prozesse.

In einem auf Github veröffentlichten Abstimmungsvorschlag, dem sogenannten Ballot SC-081, legt Apple den Zeitplan für die Laufzeitverkürzung dar. Beginnend mit dem 15. September 2025 solle die Gültigkeitsdauer schrittweise von derzeit 398 auf künftig 10 Tage gesenkt werden.

Google hatte bereits im vergangenen Jahr versucht, die Laufzeit aller TLS-Zertifikate auf 90 Tage zu beschränken, war damit aber nicht überall auf Gegenliebe gestoßen. Von der seinerzeit deutlich formulierten Idee ist das Google-Team jedoch mittlerweile abgerückt. Die entsprechende Projekt-Seite enthält lediglich den vagen Passus, Google "untersuche die Auswirkungen einer Reduktion von 397 Tagen auf 90 Tage oder weniger". Noch im September dieses Jahres hieß es, man plane die entsprechende Verkürzung in Chrome einzuführen oder zumindest dem CA/Browser Forum vorzuschlagen.

Googles TAG-Team hat eine in freier Wildbahn missbrauchte Sicherheitslücke in Android-Treibern zu Samsungs Mobilprozessoren entdeckt. Samsung schließt sie mit den Sicherheitsupdates für Smartphones im Oktober.

Anzeige

In ihrer Analyse schreiben Googles IT-Sicherheitsforscher, dass im Samsung-Treiber "m2m1shot_scaler0" eine Use-after-free-Sicherheitslücke klafft, die Angreifer bereits ausgenutzt haben. Der Treiber dient Hardware-beschleunigten Multimedia-Funktionen wie JPEG-Dekodierung und Bildgrößenänderungen. Bei einer Use-after-free-Lücke greift der Programmcode fälschlicherweise auf Ressourcen zu, die bereits freigegeben wurden und deren Inhalte daher nicht definiert sind. Das lässt sich oftmals zum Ausführen eingeschmuggelten Schadcodes missbrauchen.

Keine Details zu den Angriffen

Wie die Angriffe aussehen und wer sie auf wen verübt hat, geht aus Googles Analyse nicht hervor. Der Exploit der Schwachstelle ist jedoch Teil einer Kette zur Ausweitung der Rechte im System. Bösartige Akteure führen am Ende beliebigen Code in einem hoch privilegierten "cameraserver"-Prozess aus. Den Prozess hat der Exploit zudem in "Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein." umbenannt, vermutlich, um die forensische Analyse zu erschweren.

Die IT-Forensiker erörtern detailliert, wie der Exploit Speicherseiten aus dem Userspace in I/O-Speicherseiten zuordnet, einen Firmware-Befehl absetzt und schließlich die gemappten I/O-Speicherseiten "einreißt", um so Code im physischen Speicher zu erreichen. Wie die Angriffe auf die Smartphones jedoch konkret aussehen, ob sie etwa mit manipulierten Webseiten, mit präparierten Medienstreams oder gar bösartigen Apps erfolgen, erörtern Googles Mitarbeiter nicht. Sie schreiben jedoch, dass etwa das Galaxy S10 für den Exploit anfällig ist.

Microsoft hat die Update-Vorschauen im Oktober für Windows 11 23H2, 22H2 sowie Windows 10 22H2 veröffentlicht. Zu den wichtigen Neuerungen zählen etwa eine umstellbare Copilot-Taste oder eine optimierte Akkunutzung. Die Vorschau für Windows 11 24H2 soll "in Kürze" folgen.

Anzeige

Die Update-Vorschau mit der KB-Nummer KB5044380 hebt Windows 11 auf den Stand 22621.4391 und 22631.4391. Microsoft hebt einige Verbesserungen hervor, etwa, dass unter "Einstellungen" – "Personalisierung" – "Texteingabe" nun konfigurierbar ist, welche Anwendung die Copilot-Taste öffnen soll. Die auf neuerer Hardware vorhandene Taste öffnet in der Regel die Copilot-App. Sofern die Nutzeranmeldung mit einem Entra-ID-Konto erfolgt, soll sich die M365-App öffnen. In den Einstellungen lassen sich nun auch andere Apps auswählen, unter der Voraussetzung, dass sie in einem signierten MSIX-Paket vorliegen. Die Entwickler nennen eine weitere Einschränkung: Hat der PC keine Copilot-Taste, bewirkt die Einstellung nichts.

Laptops konnten zudem zu viel Strom verbrauchen, sofern sie sich im "modernen Standbymodus" befanden, das soll das Update korrigieren. Auf einigen Systemen konnte eine Outlook-Besprechungserinnerung dazu führen, dass eine Teilnahme an einer Teams-Sitzung nicht möglich war. Bei der Nutzung von Multifunktionsdruckern mit Anbindung durch ein USB-Kabel konnte ein Netzwerkbefehlstext ausgegeben werden – die konkreten Auswirkungen davon beschreibt Microsoft jedoch nicht.

Ein schrittweiser Rollout ist für weitere Änderungen vorgesehen. Für Spieler dürfte die Einführung eines neuen Gamepad-Tastaturlayouts für die Bildschirmtastatur unter Umständen interessant sein – es soll die Möglichkeit liefern, sich mit dem Xbox-Controller auf dem Bildschirm zu bewegen und Eingaben vorzunehmen. "Vorschläge zum Deaktivieren von Benachrichtigungen" im Systemtray lassen sich deaktivieren, etwa durch Klicken der drei Punkte ("...") neben der Benachrichtigung oder unter "Einstellungen" – "System" – "Benachrichtigungen". "Alle Apps" im Startmenü erfährt eine Umbenennung in "Alle".

Damit US-Behörden die Sicherheit ihrer Microsoft-Cloud-Nutzung selbst prüfen können, hat die US-Sicherheitsbehörde CISA ScubaGear entwickelt. Das deckt verbreitete Konfigurationsfehler, Policy-Verstöße und andere Sicherheitsprobleme systematisch auf und gibt praktische Hinweise, wie man diese Probleme beseitigt. Unser erstes Scuba-Webinar war ausverkauft, deshalb bieten wir es am 4. Dezember erneut an.

Anzeige

Das heise-security-Webinar erklärt das Konzept und die Funktionsweise des Tools. Es zeigt ganz konkret, wie man es selbst nutzen kann, um die Sicherheit seines M365-Tenants zu verbessern. Dazu gehört auch, wie Sie das US-amerikanische Tool in einem deutschen beziehungsweise europäischen Kontext sinnvoll einsetzen.

Im Webinar geht es vor allem darum, reale Angriffe zu verhindern. Der Referent Tim Mittermeier erläutert dazu typische Angriffstechniken der Angreifer, um sich Zugriff auf Cloud-Infrastrukturen zu verschaffen und Privilegien zu erhöhen. Darauf aufbauend erklärt er mit praktischen Beispielen, wie man solche Schwachstellen in Microsoft Entra ID und M365 mit ScubaGear – und anderen, vergleichbaren Werkzeuge – gezielt aufspüren kann. Abschließend gibt er Tipps zur Härtung der Entra-Mandanten und M365-SaaS-Applikationen. Administratoren und Sicherheitsverantwortliche erhalten damit direkt umsetzbare Hilfestellung bei der sicheren Konfiguration ihres M365-Tenants.

Das Webinar am 4. Dezember dauert etwa 90 Minuten und sieht dabei reichlich Zeit für Ihre Fragen und natürlich die Antworten darauf vor. Es richtet sich an alle, die Microsoft 365 in Unternehmen oder Behörden einsetzen und dabei auch für dessen Sicherheit und Compliance verantwortlich sind. Die Teilnahme kostet regulär 145 Euro; bis zum 5. November gilt der Frühbucher-Tarif von 129 Euro. Mitglieder von heise security PRO können natürlich kostenlos daran teilnehmen und dieses und viele weitere heise-security-Webinare jederzeit in der exklusiven PRO-Mediathek abrufen.