Comretix Blog

Broadcom hat Updates für den VMware vCenter Server herausgegeben, die eine kritische sowie eine hochriskante Sicherheitslücke darin schließen. Es handelt sich um den zweiten Versuch, die Schwachstellen abzudichten.

Anzeige

Bereits Mitte September hatte Broadcom die Sicherheitsmitteilung mitsamt einer Software-Aktualisierung veröffentlicht. Jetzt hat das Unternehmen die Mitteilung aktualisiert und schreibt dort: "VMware by Broadcom hat herausgefunden, dass die vCenter-Patches vom 17. September 2024 die Schwachstelle CVE-2024-38812 nicht vollständig ausbessern. Alle Kunden werden nachdrücklich aufgefordert, die in der Response Matrix aufgelisteten Patches zu installieren. Zudem sind nun Patches für die vCenter 8.0 U2-Reihe verfügbar".

Bei der Sicherheitslücke mit dem CVE-Eiintrag CVE-2024-38812 handelt es sich um einen Heap-basierten Pufferüberlauf, den die Entwickler mit einem CVSS-Wert von 9.8 als kritisches Risiko einstufen. Angreifer können durch Senden manipulierter Netzwerkpakete an verwundbare Maschinen den Fehler in der Implementierung des DCERPC-Protokolls auslösen und dadurch Schadcode einschleusen und ausführen.

Die fehlerkorrigierten Versionen lauten jetzt VMware vCenter 8.0 U3d, 8.0 U2e und 7.0 U3t sowie VMware Cloud Foundation 8.0 U3d, 8.0 U2e und 7.0 U3t. Die Versionen sind allesamt höher als die bisher verfügbaren, offenbar unwirksamen Updates aus dem September.

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.

Meta Platforms plant mit Gesichtserkennung gegen Scammer vorzugehen, die mit bekannten Persönlichkeiten werben oder sich als solche ausgeben. Denn Werbekampagnen etwa bei Facebook werden automatisiert geprüft, wobei Methoden Künstlicher Intelligenz wie maschinelles Lernen genutzt werden. Jetzt wird dafür testweise Gesichtserkennung hinzugezogen. Das testet der Facebook-Konzern auch bei verlorenen Zugängen zu eigenen Profilen. Künftig sollen auch Video-Selfies zur Identifikation und damit zur Wiederherstellung von Nutzerkonten genügen, wenn das erkannte Gesicht zu Bildern des Profils passt.

Anzeige

Dabei hat der Konzern keine guten Erfahrungen mit Gesichtserkennung. Jahrelang hatte Facebook die Gesichter mehr als einer Milliarde Menschen biometrisch ausgewertet – oft ohne Einwilligung. Nach Protesten von Bürgerrechtlern 2021 hat Meta Facebooks Gesichtserkennungs-Profile gelöscht. Verklagt wurde das Unternehmen trotzdem. 2022 hat Meta Nutzer in Illinois wegen der unerlaubten Gesichtserkennung in Facebook entschädigt, was auf 650 Millionen US-Dollar hinauslief. Teurer wurde es in Texas. Dort kostete die Gesichtserkennung Meta 1,4 Milliarden Dollar.

Jetzt will der Facebook-Konzern Gesichtserkennung produktiv zu positiven Zwecken verwenden. Ein Ansatzpunkt ist der Kampf gegen Scam auf den eigenen Plattformen. Scammer nutzen oft Bilder bekannter Persönlichkeiten, um für ihr Angebot zu werben und Klicks zu generieren (Celeb-Bait). Solche Angebote würden vielfach dazu genutzt, um persönliche Daten und sogar Geld abzugreifen. Das verstoße gegen die Nutzungsbedingungen, schreibt Meta, und würde den Nutzern schaden.

Da Werbung auf den Meta-Plattformen nicht von Menschen, sondern automatisiert geprüft und freigegeben wird, würden manche Scamming-Methoden nicht erkannt. Nun will der Konzern Gesichtserkennung einsetzen, um missbräuchliche Kampagnen mit Prominenten besser herausfiltern zu können. Das habe Meta mit einer kleinen Gruppe von Berühmtheiten erfolgreich getestet und werde in den kommenden Wochen ausgebaut. Die betroffenen Personen werden darüber informiert und können selbst entscheiden, ob sie daran teilnehmen (Opt-out). Meta verspricht, alle während des Prozesses der Gesichtserkennung gesammelten Daten nach Abschluss der Prüfung zu löschen.

In sozialen Netzen verdichten sich die Informationen, dass Fortinet mit aktualisierten Versionen von FortiManager eine Sicherheitslücke abdichtet, die bereits in freier Wildbahn angegriffen wird. Der IT-Sicherheitsforscher Kevin Beaumont warf bereits Ende vergangener Woche auf Mastodon die Frage auf, ob die "FortiManager Zero-Day-Situation bereits einen CVE-Eintrag oder einen Patch erhalten hat".

Anzeige

Am Wochenende legte Beaumont nach, dass sechs neue Versionen von FortiManager erschienen seien, die die Zero-Day-Lücke in dem Produkt schließen sollen. Ein CVE-Eintrag oder eine Problembeschreibung fehlen derweil noch immer. Auf Reddit stellen sich Betroffene die Frage, wofür etwa das Release FortiManager 7.2.8 gut sei. Die jüngsten Beiträge im Mastodon-Thread deuten darauf, dass offenbar bösartige Akteure falsche FortiGates im FortiManager mit Hostnamen wie "localhost" registrieren und diese dazu missbrauchen, Schadcode einzuschleusen und auszuführen. Beaumont ist ein in der Regel gut informierter IT-Sicherheitsforscher.

Offenbar hat Fortinet einige Kunden bereits "im Privaten" darüber informiert, dass Updates bereitstehen und diese zügig installiert werden sollten. Die aktualisierten Fassungen lauten demnach FortiManager 7.6.1, 7.4.5, 7.2.8, 7.0.13 sowie 6.4.15 oder neuere.

Diese stehen beim Hersteller auf den IT-Verantwortlichen bekannten Wegen zum Herunterladen zur Verfügung. Admins sollten die Aktualisierungen zügig anwenden, da die Schwachstelle – derzeit lediglich Gerüchten zufolge – bereits ausgenutzt wird. Die Übersichtsseite des Fortiguard PSIRT (alle Produkte von Fortinet im Link aktiviert) zeigt derzeit lediglich eine Fehlermeldung an, dass sie nicht erreichbar sei. Im Laufe des Tages fanden sich dort jedoch lediglich ältere Hinweise, die bis zur vergangenen Woche reichten. Zu FortiManager war kein neuer Eintrag vorhanden.

Im Webmailer Roundcube, der etwa im universitären Umfeld und auch bei Regierungsorganisationen häufig zum Einsatz kommt, versuchen Angreifer, eine Sicherheitslücke zu missbrauchen. Die Angreifer versuchten konkret, Zugangsdaten und weitere Mails der potenziellen Opfer abzugreifen, sie also auszuspähen.

Anzeige

Positive Technologies schreibt in einer Analyse, dass sie die Angriffe im September 2024 entdeckt haben. Eine E-Mail, die auf den Juni datierte, wurde dort an eine Regierungsorganisation eines GUS-Staates gesendet. Die E-Mail schien keinen Text zu enthalten, lediglich einen Anhang. Im Client wurde der Anhang jedoch nicht angezeigt. Ein Java-Befehl im Mail-Body dekodierte Javascript-Code, der ausgeführt wird. Der Attribut-Name "href " mit einem zusätzlichen Leerzeichen sei Indiz dafür gewesen, dass die Sicherheitslücke CVE-2024-37383 in Roundcube attackiert wurde.

Bei der Schwachstelle handelt es sich um eine Cross-Site-Scripting-Lücke bei der Verarbeitung von SVG-Animate-Attributen. Sie wurde in den Versionen Roundcube 1.5.7 und 1.6.7 im Mai geschlossen. Durch die Lücke können Angreifer Javascript-Code im Kontext von Nutzern ausführen lassen.

Die Angreifer-Mail hat mit den dekodierten Javascript-Anweisungen ein leeres Dokument "Road map.docx" gespeichert, das Base64-kodiert wurde. Zudem versuchten sie, Nachrichten vom Mailserver mit dem Managesieve-Plug-in zu erhalten. Außerdem zeigte der Code ein Autorisierungsformular für die Zugangsdaten zum Roundcube-Client an. Hier hoffen die Angreifer, dass die Felder automatisch oder manuell von den Opfern befüllt werden, die glauben, dass sie sich erneut anmelden müssen.

Um die Sicherheit seiner Cloud-Dienste zu verbessern, hat Google ein neues Bug-Bounty-Programm gestartet. Dabei können Sicherheitsforscher bis zu 100.000 US-Dollar für das Entdecken einer Sicherheitslücke kassieren. Das geht aus einem aktuellen Beitrag hervor.

Anzeige

Das Ziel ist es, Sicherheitslücken vor Angreifern zu entdecken und die Schwachstellen zu schließen. Google gibt an, dass Sicherheitsforscher ab sofort mehr als 150-Cloudservices unter die Lupe nehmen können, die sensible Nutzerdaten verarbeiten. Darunter sind Dienste wie Cloud Scheduler, Looker und Vertex AI.

In einem Beitrag hat Google die Spielregeln für das Bug-Bounty-Programm zusammengetragen. Nur wenn sich Sicherheitsforscher daran halten, haben sie Anspruch auf eine Geldprämie. Beispielsweise zählen Attacken durch Sicherheitslücken in veralteten Browser-Plug-ins nicht.

Erfüllt ein Bericht eines Sicherheitsforschers die Anforderungen und entdeckt er in einem Cloud-Produkt auf Tier 1 eine Schadcode-Lücke, winken maximal 101.010 US-Dollar. Auch die Qualität eines Reports zu einer Lücke beeinflusst die Höhe des Geldbetrags. Wichtig ist vor allem eine nachvollziehbare Beschreibung, sodass die Google-Techniker den Bug nachvollziehen können. Hinweise zu Schwachstellen reichen Sicherheitsforscher über ein Onlineformular ein.

Online-Betrüger versuchen inzwischen, potenzielle Opfer zur Installation bösartiger Apps zu verleiten. Zudem versuchen sie, an Daten von Empfängern zu gelangen, die auf eine Rundfunkgebühren-Erstattung hoffen. Davor warnt die Verbraucherzentrale Nordrhein-Westfalen.

Anzeige

Die Online-Betrüger schicken Nachrichten, die Druck aufbauen, sodass Opfer die bösartige "ElsterSecure+"-App installieren.

(Bild: Verbraucherzentrale NRW)

In einer aktuellen Mitteilung erklären die Verbraucherschützer, dass zum vorvergangenen Wochenende Phishing-E-Mails in den Postfächern von Empfängern landeten, die diese mit dem Betreff "Ihr Digitales Zertifikat - Handlungsbedarf" zur Installation der App "ElsterSecure+" aufforderten. Druck baut der Nachrichtentext dadurch auf, dass er auf "Mitwirkungspflicht im Rahmen der steuerlichen Nachweisführung" hinweist. Die Installation der App sei nötig, sie diene "der sicheren Authentifizierung und dem Schutz ihrer sensiblen Daten im Rahmen der digitalen Steuerkommunikation".

Microsoft beendet nun in den Azure-Cloud-Systemen die Unterstützung der Protokolle TLS 1.0 und TLS 1.1. Zum 31. Oktober zieht das Unternehmen den als veraltet geltenden Protokollen dort den Stecker. Das hat Auswirkungen, etwa auf spezielle Anwendungen.

Anzeige

Ende August hatte Microsoft nochmals auf das Support-Ende der als unsicher geltenden TLS-Altlasten hingewiesen. Nach dem 31.10.2024 erfordern Verbindungen für Interaktionen mit den Azure-Diensten demnach mindestens eine Sicherung mit TLS 1.2 oder höher. Microsoft will damit die Sicherheit erhöhen und eine "erstklassige Verschlüsselung ihrer Daten" gewährleisten.

Dem gehen jedoch keine konkreten Angriffe voraus, es sei "nicht bekannt, dass die Microsoft-Implementierung älterer TLS-Versionen gefährdet ist". Bezüglich des Schutzes vor Knacken mitgeschnittener Kommunikation mittels "Perfect Forward Secrecy" und allgemein stärkeren Cipher Suites böten TLS 1.2 und spätere Versionen jedoch bessere Sicherheit.

Ein jüngerer Microsoft-Artikel von Ende September spricht jedoch davon, dass etwa Azure Front Door TLS 1.0 und TLS 1.1 noch bis Ende November 2024 unterstützt. Das betreffe auch Nutzerinnen und Nutzer des Dienstes Azure CDN. Warum Microsoft hier unterschiedliche Daten nennt, bleibt unklar.

Mehrere Anwendungen von IBM sind für DoS-Attacken anfällig. Nun sind Sicherheitsupdates erschienen, die mehrere Lücken schließen.

Anzeige

Am gefährlichsten gilt in diesem Kontext eine Schwachstelle (CVE-2023-51775 "hoch") in SPSS Collaboration and Deployment Services von WebSphere Application Server. Konkret betrifft die Lücke die jose4j-Bibliothek.

Wie so eine Attacke ablaufen könnte, ist derzeit nicht bekannt. Unklar bleibt auch, ob es bereits Attacken gibt und wie Admins bereits kompromittierte Systeme erkennen können. Wie aus einer Warnmeldung hervorgeht, ist die Ausgabe 8.5.0.0-IM-ScaDS-REPOSITORYSERVER-IF014 gegen die geschilderte Attacke gerüstet.

Darüber hinaus haben die Entwickler noch weitere DoS-Schwachstellen (CVE-2024-45085 "mittel", CVE-2024-7254 "hoch") in WebSphere Application Server geschlossen. An dieser Stelle betrifft eine Schwachstelle etwa die Google-Protocol-Buffers-Bibliothek.

In einer Zeit, in der Informationssicherheit immer wichtiger wird, sind kompetente Informationssicherheitsbeauftragte (ISB) gefragter denn je. Sie spielen eine Schlüsselrolle, wenn es darum geht, Sicherheitsrisiken zu minimieren und den Schutz sensibler Daten zu gewährleisten. Mitarbeiter werden zu Informationssicherheitsbeauftragten (ISB) ernannt. Hierbei sollte für Leitung wie auch zukünftige Beauftragte klar sein, welche Erwartungen, Verantwortlichkeiten und Befugnisse mit der Rolle verbunden sind und welche Kompetenzen hierfür erforderlich sind.

Anzeige

Der Einstiegsworkshop Startklar: Ihre Rolle als Informationssicherheitsbeauftragte bietet einen umfassenden Überblick über die Aufgaben und Verantwortlichkeiten von ISBs, wie auch die Anforderungen, die an diese gestellt werden. Die Schulung erläutert zudem den Stellenwert des ISB im Unternehmen, sowie die notwendigen Rahmenbedingungen, die von der Organisationsleitung geschaffen werden müssen, damit ein ISB seine Rolle effektiv steuern und angehen kann.

Zu Beginn des Workshops werden Grundlagen zur Informationssicherheit und zum Informationssicherheitsmanagement vorgestellt. Wir stellen dar, weshalb die Tätigkeiten von ISBs in ein Managementsystem integriert sein sollten und wie diese arbeiten. Prototypisch orientieren wir uns an einem ISMS nach ISO 27001 als international führenden Standard.

Im weiteren Verlauf stellen wir Aufgaben und Verantwortlichkeiten sowie die Stellung innerhalb einer Organisation vor. Wir betrachten, welche Kenntnisse in Bezug auf Informationssicherheit, IT und soziale Fähigkeiten von Vorteil sind. Zudem werden die Schnittstellen des ISB zu internen und externen Akteuren, Teamarbeit, notwendige fachliche Kenntnisse und Soft-Skills besprochen. Der Workshop schließt mit einer Übersicht über relevante Schulungen und unterstützende Tools.

Atlassian hat das Security-Bulletin für den Oktober veröffentlicht. Darin beschreibt das Unternehmen sechs Sicherheitslücken, die in Bitbucket, Confluence und Jira klaffen. Aktualisierte Software steht bereit, die die Schwachstellen ausbessert.

Anzeige

In der Sicherheitsmitteilung erörtern Atlassians Entwickler, dass etwa die gebündelte Java Runtime Environment (JRE) in Bitbucket Data Center und Server nicht authentifizierten Angreifern ermöglicht, unbefugt Daten lesen, löschen, schreiben oder verändern können (CVE-2024-21147, CVSS 7.4, Risiko "hoch"). Bitbucket Datacenter 9.2.1 und 8.19.19 (LTS) korrigieren die Fehler, ebenso Bitbucket Data Center und Server 8.9.20 (LTS) – und natürlich jeweils neuere Fassungen.

In Confluence Data Center und Server hingegen gefährden etwa eine Stored Cross-Site-Scripting-Lücke (CVE-2024-4367, CVSS 8.1, hoch), eine Regular Expression Denial-of-Service (ReDoS)-Lücke (CVE-2022-31129, CVSS 7.5, hoch), eine Directory-Traversal-Schwachstelle (CVE-2022-24785, CVSS 7.5, hoch) sowie eine Denial-of-Service-Sicherheitslücke (CVE-2024-29131, CVSS 7.3, hoch) die Sicherheit der Software. Confluence Data Center neuer als 9.0.0 oder von 8.9.3 bis 8.9.7 und Confluence Data Center und Server 8.5.11 bis 8.5.16 sowie 7.19.26 bis 7.19.28 (LTS) und aktueller stopfen die Sicherheitslecks.

In Jira Data Center und Server hingegen können Angreifer aus dem Netz ohne vorherige Authentifizierung einen Stack-basierten Pufferüberlauf auslösen (CVE-2024-7254, CVSS 7.5, hoch). Dies habe lediglich Einfluss auf die Dienstverfügbarkeit, erörtern Atlassians Entwickler. Es handelt sich offenbar um eine DoS-Lücke, sie scheint der Beschreibung nach keine Ausführung von eingeschleustem Code zu erlauben, was bei Pufferüberläufen oft der Fall ist. Jira Data Center 10.1.1 und 5.17.4 sowie Jira Data Center und Server 5.12.14 (LTS) korrigieren den sicherheitsrelevanten Fehler.

Das IT-Sicherheitsunternehmen Sophos wird die US-amerikanische Cybersecurityfirma Secureworks übernehmen. Eine entsprechende endgültige Übernahmevereinbarung für 859 Millionen US-Dollar in bar machte das in Großbritannien ansässige Unternehmen am Montag öffentlich. Sophos hofft, durch den Deal seine Produktpalette für Unternehmenskunden weltweit zu stärken.

Anzeige

"Die Erfahrung und der Ruf von Sophos als führender Anbieter von Managed Security Services und End-to-End-Sicherheitsprodukten in Kombination mit dem in die Taegis-Plattform eingebrachten Fachwissen von Secureworks im Bereich der Sicherheitsabläufe wird voraussichtlich zu weiteren ergänzenden fortschrittlichen MDR- und XDR-Lösungen führen, von denen ihre globalen Kunden profitieren", heißt es in einer Pressemitteilung von Sophos. XDR (Extended Detection and Response) und MDR (Managed Detection and Response) sind fortschrittliche Konzepte in der IT-Sicherheit. Sie zielen auf eine umfassende Bedrohungserkennung und -abwehr ab. Sophos hat seine Stärken bei Cloud- und Netzwerksicherheitslösungen, während die Dell Technologies-Tochter Secureworks Produkte für die Erkennung fortgeschrittener Cyber-Bedrohungen anbietet, wie die erwähnte Cloud-basierte Plattform Taegis.

"Sophos plant, die Lösungen beider Unternehmen in ein breiteres und stärkeres Sicherheitsportfolio zu integrieren", erklärte ein Unternehmenssprecher gegenüber heise online. "Dazu gehört, dass Sophos sein aktuelles Portfolio um weitere neue Angebote wie Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR), SIEM-Funktionen der nächsten Generation, Sicherheit in der operativen Betriebstechnologie (OT) und verbesserte Priorisierung von Schwachstellenrisiken erweitert."

Laut der Nachrichtenagentur Reuters hat Secureworks trotz Anwendungen wie Taegis Schwierigkeiten, seine Produkte im Wettbewerb mit größeren Cybersicherheitsanbietern zu unterscheiden. Im zweiten Quartal des Jahres meldete das Unternehmen demnach einen Verlust von 17 US-Cent pro Aktie. Eigentümer Dell Technologies ließ daraufhin das Interesse von potenziellen Käufern an einer Übernahme prüfen. Frühere Verkaufsversuche waren erfolglos geblieben.

Neue regulatorische Anforderungen auf EU-Ebene durch den Cyber-Security-Act veranlassen Hersteller, ihre erstellte Software und Hardware in Bezug auf Sicherheit zu prüfen und zertifizieren zu lassen. Doch welche Richtlinien und Vorgaben müssen in Deutschland und auf dem europäischen Markt berücksichtigt werden?

Anzeige

In unserem Online-Workshop CRA-konform: Digitale Produkte auf Sicherheit prüfen und zertifizieren erhalten Sie an zwei Vormittagen einen umfassenden Einblick in die gängigen Verfahren auf diesem Gebiet. Dazu gehören unter anderem die Common Criteria for Information Technology Security Evaluation (CC), das beschleunigte Sicherheitszertifizierungsverfahren (BSZ) des Bundesamtes für Sicherheit in der Informationstechnik sowie das Sicherheitsframework NESAS (Network Equipment Security Assurance Scheme) und Prüfungen nach IEC 62443-4-2 (Industrial Security).

Sie gewinnen ein Verständnis für die angewandten Prüfungsmethoden und lernen, wie Sie die notwendigen Schutzmaßnahmen in Ihre IT-Produkte integrieren können. Ihr Trainer Sebastian Fritsch ist Leiter der BSI Common Criteria (CC) Prüfstelle der secuvera und verfügt über mehr als 10 Jahre Erfahrung als Gutachter, Auditor und Berater.

Der nächste Workshop findet am 19. und 20. November 2024 jeweils von 9:00 bis 12:30 Uhr statt. Die Schulung bietet ausreichend Gelegenheit für individuelle Fragen und den Austausch mit Experten.

Microsoft hat Details zu einer macOS-Lücke veröffentlicht, mit der es unter Umständen möglich war, sensible Browser-Daten in Apples Safari abzugreifen – darunter auch den Zugriff auf Kamera, Mikrofon und weitere Informationen. Betroffen waren Firmen- und Bildungskunden, deren Geräte mittels Mobile Device Management (MDM) administriert werden, nicht jedoch reguläre Anwender.

Anzeige

Der Fehler trägt die CVE-ID 2024-44133 und wurde im Rahmen der Veröffentlichung von macOS 15 Sequoia am 16. September behoben – in macOS 14.7, das gleichzeitig veröffentlicht wurde, allerdings aus bislang unklaren Gründen nicht. Apple beschreibt den Bug selbst so: "Auf Geräten, die über MDM verwaltet werden, kann eine App möglicherweise bestimmte Datenschutzeinstellungen umgehen." Betroffen sind alle aktuellen Macs: iMac ab 2019, iMac Pro ab 2017, Mac Studio ab 2022, Mac Pro ab 2019, Mac mini ab 2018, MacBook Air ab 2020 und MacBook Pro ab 2018.

Der Fehler, den Microsofts Sicherheitsteam "HM Surf" getauft hat, betrifft die Art, wie macOS Zugriff auf sensible Systemfunktionen erteilt – im Rahmen der TCC-Technik (Transparency, Consent and Control). Wie Microsoft festgestellt hat, wurden für Safari verschiedene lokale Dateien vorgehalten, die die TCC-Policy für den Browser steuern. Sie schreiben unter anderem fest, wenn man einer Website Zugriff auf Kamera oder Mikrofon erteilt hat.

Den Microsoft-Forschern gelang es, die TCC-Dateien zu verändern, indem sie das Home-Verzeichnis kurzzeitig veränderten, was durch TCC eigentlich nicht möglich sein dürfte. Dabei setzten sie das Kommandozeilenwerkzeug DSCL ein. Nach Veränderung des Home-Verzeichnisses war es möglich, die Safari-TCC-Konfiguration zu verändern; anschließend wurde das Home-Verzeichnis wieder zurückgesetzt, sodass die veränderte Konfiguration ausgelesen wurde, um einer Angreifer-Website Zugriff auf die Kamera oder das Mikrofon zu erteilen.

Wie eng verzahnt und anfällig für Achillesfersen die IT-Infrastruktur ist, hat zuletzt das Crowdstrike-Debakel gezeigt, bei dem ein Softwarefehler weltweit bei 8,5 Millionen Windows-System zu Totalausfällen führte. Der IT-Sicherheitstag an der Westfälischen Hochschule Gelsenkirchen zeigt am 21. November, wie Sicherheitsverantwortliche, Security-Experten und IT- Projektleiter mit der steigenden Komplexität der Systeme in ihren Unternehmen umgehen können.

Anzeige

Das Programm bietet den Teilnehmern dabei viele Möglichkeiten, sich untereinander und mit den Referenten zu vernetzen – letztere stehen in offenen Diskussionsrunden zur Beantwortung der drängendsten Fragen bereit. Veranstalter sind das Institut für Internetsicherheit und die heise academy.

Neben einer allgemeinen Einordnung zu Sicherheitswerkzeugen und Technologien, mit der Unternehmen die Komplexität managen können, beleuchtet eine Panel-Diskussion, wie man den regulatorischen Anforderungen begegnet und gegenüber sich ständig wandelnden Bedrohungen wettbewerbsfähig und resilient bleibt. Außerdem geht es darum, wie man seine empfindlichen Unternehmensdaten clientseitig verschlüsselt, damit das Lagern der Daten bei Cloudanbietern zu weniger Kopfschmerzen führt. Ein weiterer Vortrag zeigt, wie man digitale Signaturen nutzt, um seine Unternehmenskommunikation gegen Spear-Phishing-Angriffe zu wappnen.

Besonders ärgerlich ist es, wenn man selbst abgesichert ist, es aber einen Dienstleister in der eigenen Supply Chain trifft, von dem aus sich der Angriff ins eigene Netz ausbreitet. Auch im Zuge von NIS2 und dem Cyber Resilience Act (CRA) der EU müssen sich Unternehmen Gedanken über die Sicherheit ihrer IT-Lieferkette machen oder sich bewusst sein, dass sie ein wichtiges Kettenglied für andere Firmen darstellen. Die Software Bill of Materials (SBOM) hilft Unternehmen, die Anforderungen in Verträge und Prozesse zu integrieren, um rechtliche Risiken zu minimieren und die Sicherheit ihrer IT-Lieferketten zu gewährleisten.

Ubiquiti warnt vor einer Sicherheitslücke im selbst gehosteten Unifi Network Server des Unternehmens. Das darin klaffende Sicherheitsleck ermöglicht Angreifern das Ausweiten ihrer Rechte und gilt dem Hersteller als schwerwiegende Schwachstelle.

Anzeige

Unter dem Namen Unifi bietet Ubiquiti Router, Switches, WLAN-Access-Points sowie Überwachungskameras oder "smarte" Türklingeln an. Diese lassen sich mit Admin-Oberflächen verwalten, die entweder in der Cloud beim Hersteller oder auf einem Unifi Network Server liegen, der On-Premises gehostet wird.

Ohne genauere Details zur Schwachstelle zu nennen, beschreibt Ubiquiti die Lücke folgendermaßen: Eine lokale Rechteausweitungslücke in selbst gehosteten Unifi Network Servern (Version 8.4.62 und ältere) ermöglicht bösartigen Akteuren mit lokalem Betriebssystem-Nutzerkonto, Aktionen mit hohen Privilegien auf dem Unifi Network Server auszuführen (CVE-2024-42028, CVSS 8.8, Risiko "hoch"). Um die Schwachstelle auszunutzen, scheinen aufgrund der hohen Risikobewertung keine größeren Klimmzüge nötig zu sein. Wie Admins einen erfolgreichen Missbrauch der Lücke erkennen können, erwähnen Ubiquitis Entwickler jedoch nicht.

Die Sicherheitslücke schrammt nur knapp an der höchsten Risikostufe "kritisch" vorbei. IT-Verantwortliche mit selbst gehosteten Unifi-Network-Servern sollten daher die bereitstehende Aktualisierung zügig herunterladen und installieren. Die zugrundeliegenden Fehler korrigiert die Unifi Network Application in Version 8.5.6 oder neuer.

Das Internet Archive wird weiterhin angegriffen. Laut The Verge und Einträgen auf Reddit haben Unbekannte offenbar Zugriff auf Systeme der Organisation und damit am Sonntag massenhaft E-Mails verschickt. Die seien an Adressen gegangen, über die Kontakt zum Internet Archive aufgenommen wurde. In den Mails wurde demnach beklagt, dass beim Internet Archive noch immer nicht gründlich genug gegen den Cyberangriff vorgegangen werde. Abschließend heißt es: "Wir hoffen, dass sie sich jetzt zusammenreißen können."

Anzeige

Vom Internet Archive selbst gibt es bislang noch keine Stellungnahme zu dem jüngsten Vorgang. Laut den E-Mails, deren Wortlaut The Verge öffentlich gemacht hat, haben die Unbekannten dank eines nicht ungültig gemachten Zugangs-Token Zugriff auf den Zendesk-Account des Internet Archive. Damit können sie nach eigenen Angaben mehr als 800.000 Support-Anfragen einsehen – und beantworten – die seit 2018 an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. gesendet wurden. Dass der Token weiterhin gültig sei, sei die Schuld des Internet Archive, heißt es in den E-Mails. Nur deshalb hätten die Informationen in die Hände "irgendeines Typs" gelangen können: "Wenn nicht ich, dann jemand anders."

Das Internet Archive ist seit Anfang des Monats im Visier unbekannter Angreifer. Unter anderem war es dabei gelungen, 30 Millionen Nutzerdaten von der Organisation zu erbeuten. Dahinter steckt wohl eine russische Hackergruppe. Hinzu kamen ein DDoS-Angriff und eine Defacement-Attacke, wobei es zwischen den Vorgängen wohl keinen direkten Zusammenhang gab. Auch deshalb ist unklar, von wem jetzt die E-Mails versendet wurden und in wessen Händen die dafür benötigten Zendesk-Daten sind. Unbekannt ist auch, warum die Organisation überhaupt so umfangreich attackiert wird.

Das Internet Archive hat es sich zur Aufgabe gemacht, flüchtige Daten für die Nachwelt aufzubewahren: Webseiten, Bücher, aber auch historische Software, Apps und Filme. Die nach US-Recht gemeinnützige Organisation hat dafür seit fast 30 Jahren einen gewaltigen Datenschatz angesammelt. Besonders bekannt und beliebt ist die Wayback Machine, mit der man sich alte Versionen von Internetseiten ansehen kann. Außerdem hat die Organisation den kleinen Inselstaat Aruba dabei unterstützt, große Teile des kulturellen Erbes zu digitalisieren und die Dokumente dann im Internet verfügbar gemacht.

Um Kriminalität im Netz besser bekämpfen zu können, hält das Land Baden-Württemberg Ausschau nach mehr Experten. "Mit dem Cybercrime-Zentrum Baden-Württemberg konnten wir in den letzten Monaten bedeutende Erfolge bei der Bekämpfung komplexer Cyberkriminalität erzielen", betonte Justizministerin Marion Gentges (CDU).

Anzeige

Solche Erfolge seien nur möglich mit einer hohen fachlichen Kompetenz und außerordentlichem Engagement. Dem Ministerium zufolge wurde der IT-Bereich in dem neuen Zentrum deshalb kontinuierlich verstärkt. Doch die Gewinnung von IT-Personal sei angesichts des Wettbewerbs um qualifizierte Arbeitskräfte "besonders herausfordernd".

Das Cybercrime-Zentrum bei der Generalstaatsanwaltschaft Karlsruhe ging Anfang des Jahres an den Start. Es ist landesweit zuständig für besonders anspruchsvolle Verfahren der Cyberkriminalität, also von Straftaten, die sich gegen informationstechnische Systeme richten oder mit Computer- und Informationstechnik durchgeführt werden. An der Spitze des Zentrums steht die Leitende Oberstaatsanwältin Tomke Beddies.

Für das Zentrum sind 50,5 neue Stellen vorgesehen. Zum 1. Dezember dieses Jahres sind laut Ministerium 33 Personen dort tätig, darunter 16 Staatsanwälte und zwei IT-Referenten. Mit dem Cybercrime-Zentrum will das Land hochprofessionell agierenden Tätern geballte Kompetenz entgegensetzen.

Softwareentwickler, die mit Spring Framework arbeiten, sollten die Entwicklungsumgebung aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls können Angreifer an zwei Sicherheitslücken ansetzen und Systeme attackieren.

Anzeige

In einer Warnmeldung führen die Entwickler zwei Sicherheitslücken (CVE-2024-38819 "hoch", CVE-2024-38820 "mittel") auf. Sie geben an, die Schwachstellen in der Ausgabe 6.1.14 geschlossen zu haben. Der Support für Spring Framework 5.3.x und 6.0.x ist einem Supportbeitrag zufolge im August dieses Jahres ausgelaufen. Die kommerziellen Releases 5.3.41 und 6.0.25 sollen den Fix aber enthalten.

Spring Boot ist in den Versionen 2.7.22.2, 3.0.17.2 und 3.1.13.2 abgesichert.

Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem über präparierte HTTP-Anfragen beliebige Dateien auf Systemen einsehen. Bislang gibt es keine Meldungen zu bereits laufenden Attacken.

Eine "kritische" Sicherheitslücke in Grafana gefährdet Systeme. Admins sollten zügig eine der abgesicherten Versionen installieren.

Anzeige

Grafana ist eine plattformübergreifende Open-Source-Anwendung, die Daten aus verschiedenen Quellen wie MySQL oder Prometheus zusammenträgt und visualisiert. Nun können Angreifer eine Schwachstelle (CVE-2024-9264) ausnutzen, um Computer zu attackieren. Klappt so eine Attacke, haben Angreifer den Grafana-Entwicklern zufolge Zugriff auf alle Dateien eines Host-PCs. Darunter können auch unverschlüsselte Passwörter sein, die Angreifer für eine weitere Ausbreitung (Network Lateral Movement) gebrauchen können.

In einer Warnmeldung geben die Entwickler an, dass davon ausschließlich die Versionszweige 11.0.x, 11.1.x und 11.2.x betroffen sind. Grafana 10.x ist von der Lücke nicht bedroht. Aufgrund von unzureichenden Überprüfungen können Angreifer im Kontext des SQL-Expressions-Experimental-Features über duckdb-Anfragen eigene Befehle einschleusen und ausführen. Wie so eine Attacke konkret im Detail ablaufen könnte, ist derzeit nicht bekannt.

Die Entwickler versichern, die Schwachstelle in den folgenden Versionen geschlossen zu haben: