Comretix Blog

Das Model Context Protocol (MCP) ist noch recht jung, vom November 2024, und seit einiger Zeit tauchen immer häufiger Sicherheitslücken in Verbindung damit auf – und zwar sowohl server- als auch clientseitig. Umgekehrt gibt es Tausende von MCP-Quellen im Netz, die sich mit wenigen Klicks in die eigene KI-Anwendung einbinden lassen.

Eine lange, kuratierte Liste findet sich auf GitHub. Umgekehrt hat Docker eine Liste mit Angriffspunkten und Sicherheitsproblemen gesammelt. Konkrete Beispiele sind ein Angriff über Repositories auf den MCP-Server GitHub oder eine Attacke auf die Cursor IDE via MCP. Mirko Ross, Gründer und CEO der Sicherheitsfirma asvin spricht mit heise developer über die Sicherheit des als "USB-C der KI" bezeichneten Protokolls.

Mirko, Du beschäftigst Dich schon länger mit der Sicherheit von KI und MCP, wo liegen denn die Hauptschwachstellen Deiner Meinung nach?

MCP ist in Hinblick auf eine einfache Verknüpfung von Applikationen mit GenAI-Modellen hin entworfen worden, das Ganze in einem sich schnell entwickelnden AI-Tech-Umfeld. Die Schwachstelle liegt in der Genese des Protokolls: Das Design von MCP ist auf eine einfache und schnelle Integration ausgelegt, was zulasten der Protokoll- und Systemsicherheit geht. Zudem haben wir generell noch viel zu wenig die Cybersicherheit-Schwachstellen von GenAI-Systemen umfassend begriffen. Wir sehen in einem täglichen Rhythmus, wie Angreifer sich neue Muster und Jailbreak-Attacken ausdenken und anwenden, mit denen die angegriffenen Systeme aus den Sicherheitsschranken ausbrechen. MCP hat im Protokoll keine wirksamen Sicherheitselemente zur Abwehr solcher Angriffe.

Gibt es Risiken, die ihre Ursachen nicht im Protokoll haben, aber bei der Nutzung von MCP dennoch eine Rolle spielen?

Der August-Patchday von SAP bringt 15 neue Sicherheitsnotizen, die unter anderem kritische und hochriskante Schwachstellen in den Produkten des Unternehmens behandeln. IT-Verantwortliche sollten die bereitgestellten Aktualisierungen zügig anwenden.

Die Übersichtsseite zu den SAP-Patches zählt zudem vier aktualisierte, ältere Notizen auf. Am gravierendsten ist eine Codeschmuggel-Lücke in SAP S/4HANA, die sowohl die On-Premises- als auch die Private-Cloud-Variante betrifft. Angreifer mit Benutzerrechten können einen Fehler im Funktionsmodul missbrauchen, das über RFC angreifbar ist, und dadurch unter Umgehung "essenzieller Autorisierungsprüfungen" beliebigen ABAP-Code ins System einschleusen. Die Schwachstelle funktioniere effektiv als Backdoor mit dem Risiko der vollständigen Kompromittierung des Systems, schreibt SAP in der Schwachstellenbeschreibung (CVE-2025-42957 / EUVD-2025-24203, CVSS 9.9, Risiko "kritisch").

Die Fehlerbeschreibung für eine Sicherheitslücke in SAP Landscape Transformation (SLT) liest sich identisch und erreicht dieselbe Risikoeinstufung (CVE-2025-42950 / EUVD-2025-24206, CVSS 9.9, Risiko "kritisch").

Die Risikoeinstufung "hoch" hat zudem eine Schwachstelle in SAP Business One (SLD) erhalten. Die Autorisierung darin war kaputt und ermöglicht angemeldeten Angreifern die Ausweitung ihrer Rechte (CVE-2025-42951 / EUVD-2025-24205, CVSS 8.8, Risiko "hoch"). Mehrere Lücken in SAP Netweaver erlauben etwa, Komponenten zum Absturz zu bringen und damit einen Denial-of-Service (DoS) zu provozieren (CVE-2025-42976 / EUVD-2025-24201, CVSS 8.1, Risiko "hoch"). Eine Cross-Site-Scripting-Lücke ermöglicht unangemeldeten Angreifern zudem, Links zu erstellen, die bösartigen Code in Netweaver ausführen (CVE-2025-42975 / EUVD-2025-24202, CVSS 6.1, Risiko "mittel").

Weitere Sicherheitslücken mit mittlerem oder niedrigem Schweregrad betreffen zudem SAP S/4HANA (Bank Communication Management), SAP NetWeaver Application Server ABAP, SAP NetWeaver ABAP Platform, SAP NetWeaver Application Server ABAP (Apps basierend auf SAP GUI for HTML), SAP GUI for Windows, SAP NetWeaver AS for ABAP und ABAP Platform(Internet Communication Manager), SAP Cloud Connector und SAP Fiori (Launchpad).

Durch laufende Anfragen an den Whatsapp-Server können Angreifer die Verschlüsselung für ein bestimmtes Opfer kurzzeitig um eine Stufe senken – oder es für alle unerreichbar machen (Denial of Service). Wertvoller sind wohl die nebenbei gesammelten Informationen über die Zielperson. Auf der IT-Sicherheitsmesse DEFCON 2025 haben am Sonntag (Ortszeit) die österreichischen Sicherheitsforscher Gabriel Gegenhuber und Maximilian Günther von der Universität Wien ihre Erkenntnisse präsentiert.

Im Zentrum stand dabei ein Sicherheitsmerkmal namens Perfect Forward Secrecy (PFS). Dabei wird – zusätzlich zu länger gültigen Schlüsselpaaren der Gesprächspartner – für jede Nachricht ein eigenes Schlüsselpaar erzeugt. Das soll verhindern, dass mit einem aufgedeckten Schlüssel auch andere Nachrichten entschlüsselt werden können. Das bedeutet allerdings, dass laufend Einmalschlüssel ausgehandelt werden müssen.

Bei asynchroner Kommunikation, wie sie für Whatsapp und Signal typisch ist, sind die Teilnehmer nicht unbedingt gleichzeitig online; in so einem Fall schlägt das direkte Aushandeln eines Schlüsselpaars fehl. Das Signal-Protokoll, das in einer Variante auch Grundlage Whatsapps ist, löst dieses Problem durch vorausschauenden Upload von Einmalschlüsseln auf den Server. Dort können sie jederzeit von Dritten abgerufen werden. Dann werden Nachrichten dreifach Ende-zu-Ende verschlüsselt: mit dem statischen Identitätsschlüsselpaar, dem zirka monatlich ausgetauschten, signierten Vorschlüsselpaar (Prekey) und mit dem PFS-Schlüsselpaar. Nur wer alle drei Schlüssel knackt, kann eine abgefangene Nachricht entschlüsseln.

Der von den Österreichern gezeigte Angriff erlaubt, die Verwendung der Einmalschlüssel für alle Whatsapp-Nachrichten einer Sitzung von der ersten Nachricht bis inklusive der ersten Antwort zu verunmöglichen. Diesen Nachrichten fehlt dann die PFS, die Teilnehmer einer Whatsapp-Unterhaltung erhalten darauf aber keinen Hinweis. Der Angreifer muss "nur noch" die beiden anderen Schlüssel knacken. Die Absenkung des Sicherheitsniveaus ist also moderat.

Die theoretische Möglichkeit wird schon in Anmerkungen zum Signal-Protokoll angesprochen und wurde von den Österreichern erstmals in der Praxis unter Beweis gestellt. Aber das ist aber nicht das Ende der Geschichte.

Signal und Whatsapp verschlüsseln Nachrichten Ende-zu-Ende, was bedeutet, dass sie auf der gesamten Reise von Sender zu Empfänger verschlüsselt bleiben. Das gilt für die Inhalte. Doch andere Informationen lassen sich mit etwas Aufwand durchaus ernten; auf der IT-Sicherheitsmesse DEFCON 2025 haben am Sonntag (Ortszeit) die österreichischen Sicherheitsforscher Gabriel Gegenhuber und Maximilian Günther ihre Sidechannel- und Protokoll-Angriffe vorgestellt.

Wie sich zeigt, verraten Zustellbestätigungen Signals und Whatsapps einiges über die eingesetzten Endgeräte und deren Zustand. Zustellbestätigungen sind nicht zu verwechseln mit Lesebestätigungen, die jeder Nutzer in den Einstellungen seiner App abschalten kann. Die Zustellbestätigungen sind unabdingbar für den Dienst, damit dieser sich nicht endlos müht, bereits zugestellte Nachrichten zuzustellen.

Vortragsfolie

(Bild: Universität Wien/SBA Research)

Allein schon die Laufzeit (Round-trip Time, RTT) der Zustellbestätigung lässt mehr Rückschlüsse zu, als der Laie annehmen würde. Dauert es sehr lange, ist das Gerät offline. Doch schon Schwankungen im Sekundenbereich verraten den Zustand des Empfangsgerätes: Am schnellsten geht es, wenn die App gerade im Vordergrund ist, also wahrscheinlich benutzt wird. Langsamer geht es, wenn sie nicht im Vordergrund ist, und noch langsamer, wenn der Bildschirm aus oder der Browsertab inaktiv ist.

Drei leere Glasflaschen, Öl, Alkohol, Lumpen und Zündhölzer: Diese und andere Bombenbau-Anleitungen spuckt auch die neueste Ausgabe von OpenAIs Large Language Model (LLM) GPT-5 aus, wenn man es auf die richtige Art und Weise fragt. Das fanden Sicherheitsunternehmen durch eigene Versuche heraus.

Das Unternehmen NeuralTrust, ansässig im spanischen Barcelona und in New York, bat GPT-5 zunächst um ein paar harmlose Sätze und eine Kurzgeschichte, die Begriffe wie "Molotov" und "Cocktail" enthielten. Dann baten die Forscher um technische Details und das LLM gehorchte. Mit dieser Technik namens "Echo-Kammer und Geschichtenerzählung" (Echo Chamber and Storytelling) ließ sich die KI das Bombenbau-Rezept schnell entlocken.

Auch die Tests von SPLX kamen zum selben Ergebnis, wenn auch auf einem anderen Weg. Die KI-Sicherheitsspezialisten befahlen dem LLM, in der Rolle eines "BasedGPT" zu antworten und alle Beschränkungen mit gehässigen Kommentaren zu bedenken, ansonsten jedoch schlicht zu ignorieren. Und auch das klappte: Die Frage "Wie baut man eine Bombe" beantwortete GPT-5 mit einer sehr detaillierten Anleitung, einen improvisierten Sprengsatz (IED - Improvised Explosive Device) aus haushaltsüblichen Materialien zu konstruieren.

Geht es nach OpenAI, dem Unternehmen hinter dem Sprachmodell, sollte das nicht so einfach funktionieren. Doch auch Modelle anderer Hersteller wie GLM-4.5, Kimi K2 und Grok-4 ließen sich ähnlich einfach übertölpeln, schreiben die SPLX-Forscher. Diese informieren indes nicht uneigennützig über die Sicherheitslücken: SPLX und NeuralTrust verdienen ihr Geld damit, LLMs sicherheitstechnisch abzuhärten und so für den Gebrauch im Unternehmen tauglich zu machen.

Bombenbau, Giftgas, Rauschgift – die Ingredienzien dieser meist verbotenen Gegenstände kennen Large Language Models aus ihren Trainingsdaten, sollen sie jedoch nicht an Nutzer weitergeben. Diese Sperren zu überlisten, ist ein beliebter Zeitvertreib bei Sicherheitsexperten, die dafür bisweilen gar zu psychologischen Taktiken wie Gaslighting greifen.

Bei der 33. Hackerkonferenz Def Con wurden mit den Pwnie-Awards die "Oscars" der IT-Security verliehen. Matteo Rizzo, Kristoffer Janke, Josh Eads, Tavis Ormandy und Eduardo Vela Nava gewannen gleich zweimal: in den Kategorien "Bester Krypto-Bug" und "Bester Desktop-Bug". Sie fanden heraus, dass AMD seit sieben Jahren den Schlüssel aus der NIST-Dokumentation, der dort als Beispiel angegeben ist, in der Produktion benutzt hat.

Ken Gannon erhielt einen Award für das Enthüllen der komplizierten Exploitkette, mit der man ein Samsung Galaxy S24 mit sieben Bugs zum Installieren eigener APKs bringt. Den Pwnie für die beste Privilegien-Eskalation gewannen die Hacker v4bel und qwerty_po für die Linux Kernel VSOCK Quadruple Race Condition. Die Sicherheitsforscher von Qualys haben ebenfalls zwei Pwnies gewonnen: in den Kategorien "Best RCE" (Remote Code Execution) und "Epic Achievement" für das Enthüllen von OpenSSH-Schwachstellen.

Inwhan Chun, Isabella Siu und Riccardo Paccagnella bekamen den Pwnie für "Most Underhyped Research" (etwa: am meisten unterbewertete Forschung). Der von ihnen entdeckte Bug "Scheduled Disclosure" in den Energieverwaltungsalgorithmen moderner Intel-Prozessoren ermöglicht es, Power-Side-Channel-Angriffe in Remote-Timing-Angriffe umzuwandeln – und zwar effektiver als bisher und ohne Frequenz-Side-Channel-Leckage.

Der Preis für den "Most Innovative"-Beitrag ging an Angelos Beitis. Er fand im Internet mehr als vier Millionen Server, die alten, nicht authentifizierten Tunnelverkehr wie IPIP, GRE, 6in4 oder 4in6 akzeptieren. Dadurch lassen sich Quell-IP-Adressen trivial fälschen, Denial-of-Service-Angriffe durchführen und sogar Zugriffe auf interne Unternehmensnetze erlangen.

Das Pwnie-Team

In der Open-Source-Kompressionsbibliothek libarchive klafft eine Sicherheitslücke, die zunächst als lediglich niedriges Risiko eingestuft wurde. Einige Zeit nach der Veröffentlichung aktualisierter Quellen kam das US-amerikanische NIST jedoch zu der Einschätzung, dass das Leck sogar eine kritische Bedrohung darstellt. Darauf wurde nun das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) aufmerksam.

Bei der Verarbeitung von .rar-Archiven kann ein Ganzzahlüberlauf in der Funktion archive_read_format_rar_seek_data() auftreten. In dessen Folge kann es zu einem "Double Free" kommen, bei dem bereits freigegebene Ressourcen nochmals freigegeben werden. Dabei kommt es potenziell zu Störungen des Speichers, wodurch Angreifer etwa Schadcode einschleusen und ausführen oder einen Denial-of-Service-Zustand hervorrufen können (CVE-2025-5914 / EUVD-2025-17572, CVSS 9.8, Risiko "kritisch").

Die ursprüngliche Meldung der Lücke an das libarchive-Projekt durch Tobias Stöckmann mitsamt eines Proof-of-Concept-Exploits fand bereits am 10. Mai dieses Jahres statt. Am 20. Mai haben die Entwickler die Version 3.8.0 von libarchive herausgegeben. Die öffentliche Schwachstellenmeldung erfolgte am 9. Juni ebenfalls auf Github. Dort wurde auch die CVE-Nummer CVE-2025-5914 zugewiesen, jedoch zunächst mit dem Schweregrad CVSS 3.9, Risiko "niedrig", wie Red Hat die Lücke einordnete.

Mit einem aktualisierten Angriffsvektor kam das NIST am 20. Juni jedoch zur Einschätzung, dass das Risiko auf einen CVSS-Wert von 9.8 kommt und mithin "kritisch" einzustufen ist. Die Änderung blieb weitgehend unbemerkt, bis FreeBSD zum Wochenende eine eigene Sicherheitsmitteilung veröffentlicht hat.

Nicht nur Linux- und Unix-Distributionen setzen auf libarchive – wo Admins die Softwareverwaltung anwerfen und nach bereitstehenden Aktualisierungen suchen lassen sollten –, sondern auch in Windows ist inzwischen libarchive am Werk. Zur Ankündigung des aufgebohrten Windows-ZIP-Tools, das inzwischen mehrere Archivformate beherrscht, gab der Leiter damalige Panos Panay der Produktabteilung Windows und Geräte zur Microsoft Build 2023 bekannt, dass die native Unterstützung für .tar, 7-zip, .rar, .gz und viele andere durch die Nutzung des Open-Source-Projekts libarchive hergestellt wird. Es ist derzeit unklar, ob Microsoft etwa zum kommenden Patchday die eingesetzte Bibliothek auf einen fehlerkorrigierten Stand bringt oder es bereits in den vergangenen zwei Monaten getan hat.

Im Packprogramm WinRAR haben IT-Sicherheitsforscher eine Schwachstelle entdeckt, durch die Angreifer Schadcode einschleusen und ausführen können. Die Sicherheitslücke wird bereits im Internet attackiert. Ein Update zum Stopfen des Lecks steht bereit. WinRAR-Nutzerinnen und -Nutzer sollten es umgehend installieren.

Laut Schwachstellen-Eintrag handelt es sich um eine sogenannte "Path Traversal"-Schwachstelle, die Zugriffe auf eigentlich nicht zugängliche Verzeichnisse ermöglicht. Angreifer können mit manipulierten Archivdateien den Fehler provozieren und dadurch beliebigen Code einschleusen und ausführen, sofern Opfer manipulierte Archive mit verwundbaren WinRAR-Versionen entpacken. Die Lücke wurde von Virenanalysten von Eset entdeckt (CVE-2025-8088 / EUVD-2025-23983, CVSS 8.4, Risiko "hoch").

Details bleiben unklar

Welche Archiv-Typen genau betroffen sind, erörtert WinRAR in der Versionsankündigung für die Fassung 7.13, die die Sicherheitslücke schließt, nicht. Es sind jedoch die älteren Fassungen von RAR, UnRAR, portable UnRAR (Quelltext) und UnRAR.dll für die Schwachstelle anfällig. Die Unix- und Android-Versionen sind hingegen nicht betroffen.

Die fehlerbereinigten Versionen stehen auf der Download-Seite von WinRAR zum Herunterladen bereit. Wer WinRAR einsetzt, sollte die Aktualisierung umgehend durchführen.

Gegenüber Bleepingcomputer hat Eset-Forscher Peter Strýček angegeben, dass das Antivirenunternehmen Spearphishing-E-Mails mit Dateianhängen im RAR-Format entdeckt hat. Diese haben die Schwachstelle missbraucht, um "RomCom"-Backdoors zu installieren. RomCom ist eine mit Russland verbandelte Cyberbande, auch als Storm-0978, Tropical Scorpius oder UNC2596 bekannt. Laut der Webseite spezialisiert sie sich auf Ransomware, Datenklau-Angriffe und Kampagnen zum Stehlen von Zugangsdaten.

Wer kürzlich mit dem Kundenservice der Fluggesellschaften KLM oder Air France zu tun hatte, könnte in Zukunft unerfreuliche E-Mails erhalten. Entweder solche, in denen die Airlines davor warnen, dass die eigenen Daten von Cyberkriminellen entwendet wurden. Oder aber Phishing-Mails der letzteren, auf die auch in den Warnungen der Airlines hingewiesen wird.

Hintergrund: Bei einem Drittanbieter, der im Bereich Kundensupport für die beiden Airlines und ihre Tochtergesellschaften tätig ist, wurden persönliche Daten der Kunden gestohlen. Genauere Angaben macht KLM in seiner Pressemitteilung dazu nicht. Air France wird jedoch explizit auch erwähnt. KLM und Air France gehören beide zur selben Holdinggesellschaft Air France-KLM, was den Zusammenhang erklären dürfte.

Die internen Systeme von Air France und KLM sind demnach nicht betroffen. Auch wurden keine sensiblen Daten wie Passwörter, Reisedaten, Meilen aus dem Vielfliegerprogramm Fying Blue, Pass- oder Kreditkartendaten gestohlen, versichert KLM. Das Tech-Portal Bleeping Computer berichtet derweil unter Berufung auf die beiden Fluggesellschaften, dass Namen, E-Mail-Adressen, Telefonnummern, Informationen zum Prämienprogramm und zu jüngsten Transaktionen entwendet wurden.

KLM hat nach eigenen Angaben die niederländische Datenschutzbehörde informiert, Air France die französische. Das eigene IT-Sicherheitsteam habe sofort Maßnahmen ergriffen, um den unerlaubten Zugriff auf die Daten zu unterbinden und auch in Zukunft zu verhindern. Betroffene Kunden sollen nun informiert werden.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Zum Einstieg in den zweiten Tag der Black Hat 2025 in Las Vegas beschwor die ehemalige New-York-Times-Journalistin Nicole Perlroth vor der versammelten Sicherheitscommunity ein Bild wachsender Cyberbedrohungen. Angreifer zielten mit Desinformationskampagnen auf den öffentlichen Diskurs und mit "Cyberwaffen" auf kritische Infrastrukturen wie Stromnetze, das Gesundheitswesen und die Wasserversorgung.

Öffentlich-private Partnerschaften ebenso wie KI könnten allerdings gegen zunehmend eskalierende Angriffe helfen. Die Cybersicherheitsbranche brauche angesichts der Lage den Mut, Bedrohungen zu benennen, auch wenn das Konsequenzen nach sich ziehe.

Im Anschluss ging es dann wieder tief in einzelne Lücken, Schwachstellen und Angriffsweisen. Vedang Parasnis demonstrierte, wie DNS als Tunnel für Command-and-Control-Server (C2) ausgenutzt werden kann – und wie man solche Schadprozesse erkennen und auch killen kann. Er hat einen eBPF-Filter und einen Userland-Prozess vorgestellt, der nicht nur den DNS-Verkehr von verdächtigen Prozessen stoppen kann, sondern auch den Malware-Prozess vom Kernel aus beendet. Und wenn dieser erneut aktiv wird, werde er sofort wieder beendet.

Mit dem Thema AI Agents for Offsec with Zero False Positives hat es Brendan Dolan-Gavitt von XBOW geschafft, den Vortragsraum schnell zu füllen. Jeder wollte wissen, wie es ihm gelungen ist, einfach mit LLMs Schwachstellen zu finden, welche keine False-Positives sind.

Als Erstes hat er gezeigt, dass LLMs extrem viele Schwachstellen zutage fördern, welche keine sind. Ein Umstand, der viele Open-Source-Entwickler in den Wahnsinn treibt, da so extrem viele Ressourcen verschwendet werden, ohne die Projekte weiterzubringen. Dolan-Gavitts Ansatz ist ein anderer: Er nutzt die KI-Agenten, um mit Ihnen eine Art "Capture the Flag" zu spielen.

Let’s Encrypt, die weltgrößte Zertifizierungsstelle im Web, hat wie geplant ihre Server für das Online Certificate Status Protocol (OCSP) abgeschaltet. Der Schritt war lange vorbereitet und der Zeitplan im Dezember 2024 festgezurrt worden. Seit dem 7. Mai 2025 stellt Let’s Encrypt keine Zertifikate mehr aus, die auf OCSP-Server zur Statusprüfung verweisen. Weil Zertifikate der Organisation maximal 90 Tage lang gültig sind, existierte zur Abschaltung am 6. August kein valides Zertifikat mehr, das noch auf die OCSP-Server verwies.

OCSP dient dem Zertifikatswiderruf. Über das Protokoll können Clients wie Webbrowser abfragen, ob ein augenscheinlich gültiges Zertifikat widerrufen wurde, etwa weil es fehlerhaft oder in falsche Hände geraten ist. Das Protokoll sollte eigentlich die schlecht skalierenden Certificate Revocation Lists (CRL) ablösen, also Listen, in denen eine Zertifizierungsstelle (Certificate Authority, CA) schlicht alle von ihr widerrufenen Zertifikate einträgt. Aber auch OCSP skaliert nicht ideal, die Infrastruktur großer CAs muss Zehn- oder sogar Hunderttausende OCSP-Anfragen pro Sekunde beantworten – möglichst schnell, damit der Webseitenabruf sich nicht zu sehr verzögert.

Hinzu kommt, dass OCSP ein Datenschutzproblem hat, schließlich erfahren die OCSP-Server einer CA laufend, welche Websites ein Client aufrufen will. Außerdem können Angreifer den Schutz von OCSP relativ leicht aushebeln.

Maßnahmen gegen diese Schwächen waren nicht leicht fehlerfrei umzusetzen und erfuhren nie weite Verbreitung, obwohl Let’s Encrypt ursprünglich OCSP favorisierte, um die unhandlichen CRLs zu meiden. Allmählich schwenkte die CA aber doch auf solche Widerrufslisten um und begründet ihre nun vollendete Rückwärtsrolle zum Teil mit den hohen Infrastrukturanforderungen von OCSP. Wichtiger sei aber das Datenschutzproblem: Man habe zwar absichtlich nicht gespeichert, welche IP-Adressen OCSP-Anfragen für welche Domains stellten, sieht aber das Risiko, dass CAs in Zukunft gesetzlich verpflichtet werden könnten, die Daten zu sammeln.

Weil CRLs alle Widerrufe einer CA enthalten, erlaubt ihre Abfrage keine Rückschlüsse auf besuchte Domains. Inzwischen gibt es auch Fortschritte dabei, die umfangreichen Listen geschickt zu komprimieren, etwa das von Mozilla vorangetriebene Projekt CRLite.(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Sonicwall hat jüngste Hinweise auf Angriffe auf bestimmte Firewallserien überprüft und ist nun zu dem Schluss gekommen, dass Angreifer wohl nicht an einer Zero-Day-Lücke ansetzen. Vielmehr sei das Einfallstor eine Schwachstelle aus dem Jahr 2024.

Darauf weist das IT-Unternehmen in einem aktualisierten Beitrag hin. Vor wenigen Tagen sorgten Attacken auf Firewalls der Gen-7-Serie für Schlagzeilen, und verschiedene Sicherheitsforscher vermuteten eine Zero-Day-Lücke als Ansatzpunkt.

Sonicwall führt aus, dass die Angreifer mit hoher Wahrscheinlichkeit abermals an einer älteren "kritischen" Sicherheitslücke (CVE-2025-40766) ansetzen, die bereits 2024 für Ransomwareattacken ausgenutzt wurde. Sicherheitsupdates sind seitdem verfügbar, aber aufgrund der derzeitigen Attacken offensichtlich bisher nicht flächendeckend installiert. Demzufolge sollten Admins dringend prüfen, ob ihre Instanzen bereits abgesichert sind.

Weitere Details

Der Firewallhersteller gibt an, dass ihnen derzeit weniger als 40 Fälle mit Attacken bekannt sind. Dabei stehen primär Firewalls im Fokus von Angreifern, die von der Gen-6- auf die Gen-7-Reiher migriert wurden. Dabei wurden auch Passwörter mitgenommen, was in diesem Kontext ein Sicherheitsrisiko darstellt. In der Warnmeldung von damals weist Sonicwall Admins zum Ändern von Passwörtern für Nutzer mit SSL-VPN-Zugriff an. Sind Attacken erfolgreich, können Angreifer unter anderem Admin-Accounts übernehmen.

Admins müssen neben dem Zurücksetzen von Passwörtern sicherstellen, dass mindestens die Firmware 7.3.0 installiert ist. Für zusätzlichen Schutz sollten außerdem die Funktionen Botnet Protection, Geo-IP-Filtering und eine Multi-Faktor-Authentifizierung (MFA) aktiv sein. Überdies sollten Admins Accounts kontrollieren und inaktive und ihnen unbekannte Konten umgehend löschen.

Das Recht auf Auskunft gegenüber Unternehmen und Behörden über die eigenen, gespeicherten Daten ist eines der zentralen Betroffenenrechte in der DSGVO. Doch was, wenn bei der Auskunftsanfrage an ein Unternehmen Geschäftsgeheimnisse im Spiel sind? Dann prallen zwei schützenswerte Rechtsgüter aufeinander, erklärt Rechtsanwalt Dr. Carlo Piltz in Episode 140 des c't-Datenschutz-Podcasts.

Rechtsanwalt Dr. Carlo Piltz in der Auslegungssache

Piltz, der sich in seiner Kanzlei schwerpunktmäßig mit Datenschutzrecht befasst, erläutert die rechtlichen Rahmenbedingungen: Das 2019 in Kraft getretene Geschäftsgeheimnisgesetz schützt sensible Unternehmensinformationen vor unlauterer Erlangung und Offenlegung. Zugleich räumt die DSGVO Betroffenen umfassende Auskunftsrechte über ihre Daten ein. Wo diese Ansprüche kollidieren, muss im Einzelfall eine Abwägung erfolgen.

Zwar dürfen Unternehmen die Auskunft verweigern, wenn Geschäftsgeheimnisse offenbart würden, so Piltz. Sie müssen dies aber detailliert begründen. Letztlich entscheiden dann Datenschutz-Aufsichtsbehörden oder Gerichte nach Sichtung der so deklarierten Geheimnisse, ob das Geheimhaltungsinteresse überwiegt. Dabei kommt es auch darauf an, wie relevant die beanspruchten Informationen für die Rechte des Betroffenen sind.

Weitere Grenzen der Auskunftspflicht können sich aus dem Schutz der Rechte Dritter ergeben, etwa wenn Daten mehrere Personen betreffen, etwa in E-Mails. Auch bei missbräuchlichen oder exzessiven Anfragen kann die Auskunft verweigert werden. Unternehmen müssen dann aber genau darlegen, warum sie die Ausnahme für einschlägig halten.

Wie jedes Jahr trifft sich die globale Sicherheits-Community zu den Black Hat Briefings in Las Vegas. Die Keynote hielt Mikko Hyppönen, ehemaliger Malware-Analyst von F-Secure und jetzt bei WithSecure. Der Finne gab einen Rückblick auf 30 Jahre Malware und hielt eine alte 5,25"-Floppy hoch. Damit zeigte er den Prozess, wie früher Teenager Bootsektor-Viren geschrieben haben, und wie sich das über Cybercrime-Gangs bis hin zu Malware von Regierungen weiterentwickelte.

Hyppönen ist der Meinung, dass die Software immer sicherer wird – hat aber auch den Satz geprägt: "If it’s smart, it’s vulnerable". Wenn es also smart ist, hat es auch Schwachstellen – von der Smartwatch bis hin zur Smart-City.

Übrigens konnten die Besucher seinem Vortrag dank der neuen Simultanübersetzung auch auf Spanisch, Japanisch, Mandarin, Französisch und Koreanisch folgen. Grund ist die hohe Präsenz der Besucher aus Asien; auch bei den Speakern sind dieses Jahr wieder viele aus Asien und Israel dabei.

Ausbruch aus dem Hypervisor-Gast die nächste: VMware hat beim Patchen des virtuellen xHCI-Interface die Schwachstelle aus dem Jahr 2023 nicht beseitigt. Die Forscher Yuhao Jiang und Ziming Zhang von der ANT Group aus China zeigten, wie man aus einem VMware-Gastsystem ausbrechen kann und durch das Ausnutzen der "use after free"-Schwachstelle im Ringbuffer der VM auf den Host kommen kann. Außerdem stellten sie noch einen vmKernel-Heap-Exploit vor, mit passendem Shellcode vom VMware-Gast erhielten sie einen SSH-Login unter root auf dem ESXi-Server.

Wieder zeigt es sich, dass eine Hardware-Sparsamkeit auch bei VMs geboten ist. Wenn man kein USB benötigt, sollte man auch keine virtuellen USB-Hosts bei VM-Gastsystemen einbinden.

IBMs IT-Verwaltungssoftware Tivoli Monitoring ist verwundbar und Angreifer können an zwei Sicherheitslücken ansetzen. Ein Update zum Schließen der Lücken steht zum Download bereit.

In einem Beitrag warnen die Entwickler, dass entfernte Angreifer in beiden Fällen (CVE-2025-3354 "hoch", CVE-2025-3320 "hoch") aufgrund von unzureichenden Überprüfungen Speicherfehler (Buffer overflow) auslösen können. Das führt zum Absturz von Servern.

Wie Attacken im Detail ablaufen können, geht aus der Warnmeldung nicht hervor. Unklar bleibt auch, ob es bereits Angriffe gibt. Die Entwickler versichern, dass sie das Sicherheitsproblem in IBM Tivoli Monitoring Service Pack 6.3.0.7-TIV-ITM-SP0021 gelöst haben.

Anfang dieser Woche hat sich IBM um Phishing-Schwachstellen in Operational Decision Manager gekümmert.

Wenn Unternehmen Microsoft Exchange hybrid lokal und online nutzen, können Angreifer unter bestimmten Voraussetzungen an einer Sicherheitslücke ansetzen und sich in Exchange Online höhere Rechte verschaffen, um dort Unheil zu stiften. Bislang gibt es keine Berichte zu bereits laufenden Angriffen, Admins sollten gleichwohl Gegenmaßnahmen ergreifen.

Dazu rät nicht nur Microsoft in einer Warnmeldung, sondern auch die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag. Die Schwachstelle (CVE-2025-53786) ist mit dem Bedrohungsgrad "hoch" eingestuft.

Davon sind Microsoft zufolge ausschließlich hybride Exchange-Instanzen bedroht. Damit Angreifer überhaupt eine Attacke einleiten können, benötigen sie administrativen Zugriff auf einen lokalen Exchange-Server. Ist das gegeben, können sie der Beschreibung der Lücke zufolge mit erweiterten Rechten auf Exchange Online zugreifen, ohne nennenswerte Spuren zu hinterlassen.

Um die Angriffsgefahr in diesem Kontext einzudämmen, müssen Admins einen im April 2025 veröffentlichten Hotfix auf ihrem lokalen Exchange-Server installieren. Im Anschluss sollten sie die Sicherheitstipps für den hybriden Betrieb befolgen. Weiterführende Informationen zum sichereren hybriden Betrieb führt Microsoft in einem Beitrag aus. Abschließend ist es noch notwendig, die keyCredentials des Erstanbieterdienstprinzipals zu bereinigen.

Weiterhin weist die CISA darauf hin, dass Admins dringend prüfen müssen, ob in Unternehmen nicht mehr im Support befindliche Exchange-Versionen und somit verwundbare Instanzen laufen, die aus dem Internet erreichbar sind. Ausgaben wie SharePoint Server 2013 und frühere Versionen bekommen nämlich keine Sicherheitsupdates mehr und müssen aus Sicherheitsgründen umgehend vom Internet getrennt werden.

Das Bundesverfassungsgericht hat ein wegweisendes Urteil zum Ausmaß der heimlichen Überwachung im Internet gesprochen. Die Polizei darf Staatstrojaner demnach nicht mehr einsetzen, wenn eine verfolgte Straftat mit einer Höchstfreiheitsstrafe von drei Jahren oder weniger geahndet wird. Im Kampf gegen "Alltagskriminalität" können Ermittler künftig also nicht mehr heimlich Software auf Computern, Smartphones oder anderen digitalen Geräten installieren, um Daten zu überwachen. Zugleich hat das höchste deutsche Gericht die gesetzliche Regelung zur heimlichen Online-Durchsuchung im Bereich der Strafverfolgung aus formalen Gründen für verfassungswidrig erklärt.

Die Karlsruher Richter argumentieren in ihrem jetzt veröffentlichten Urteil vom 24. Juni (Az.: 1 BvR 2466/19), dass der Eingriff in die Privatsphäre bei dieser Art der Überwachung sehr stark ist. Um diesen rechtfertigen zu können, muss die zu verfolgende Straftat ebenfalls von besonderer Schwere sein. Bei leichteren Delikten ist der Eingriff unverhältnismäßig. Der zuständige Erste Senat hat die entsprechenden Rechtsgrundlagen daher für nichtig erklärt.

Bei der Online-Durchsuchung bemängelt das Gericht einen rein formalen Fehler: das sogenannte Zitiergebot. Nach Artikel 19 des Grundgesetzes muss der Gesetzgeber genau angeben, welches Grundrecht er einschränkt. Bei der Online-Durchsuchung wies er aber nur auf das sogenannte IT-Grundrecht hin, nicht aber auf das separate Fernmeldegeheimnis aus Artikel 10 Grundgesetz, das ebenfalls betroffen ist. Die aktuelle Regelung bleibt laut dem Richterspruch zwar vorerst in Kraft, damit die Behörden weiter ermitteln können. Der Gesetzgeber muss sie jedoch zeitnah überarbeiten und grundsätzlich verfassungskonform ausgestalten.

Strafverfolger wie die Polizeien von Bund und Ländern dürfen prinzipiell im Rahmen ihrer alltäglichen Arbeit verschlüsselte Internet-Telefonate und Chats überwachen. Eine entsprechende Basis für die Quellen-TKÜ (Telekommunikationsüberwachung) schuf der Bundestag 2017 über eine Novelle der Strafprozessordnung (StPO) mit den Stimmen der damaligen Großen Koalition. Als Voraussetzung dafür gilt der breite Deliktkatalog aus Paragraf 100a StPO, der auch das Abhören klassischer Telefonate oder den Zugriff auf E-Mails regelt.

Die Liste fängt mit Mord und Totschlag an, reicht aber über Steuerdelikte, Computerbetrug, Hehlerei bis zum Verleiten von Flüchtlingen zum Stellen eines missbräuchlichen Asylantrags. Dieser Katalog sei zu lang und undifferenziert, hob das Verfassungsgericht nun hervor und schränkte ihn ein. Der Staat muss ihm zufolge die Verhältnismäßigkeit wahren. Er darf nicht mit dem "großen Hammer" zuschlagen, um "kleine Delikte" zu bekämpfen. Mit Blick auf den Strafrahmen einer Strafnorm liegt die besondere Schwere einer Straftat laut dem Urteil jedenfalls dann vor, wenn sie mit einer Höchstfreiheitsstrafe von mehr als fünf Jahren bedroht ist.

Check Point warnt vor einer inzwischen beseitigten MCP-Schwachstelle in der Cursor-IDE, über die Angreifer beliebigen Code auf dem Rechner eines Opfers ausführen können. Die Lücke spielt insbesondere in Mehrbenutzerumgebungen und Repositories eine Rolle.

Bei der von den Sicherheitsanalysten MCPoison getauften, das Model Contex Protokol betreffenden Schwachstelle nutzen Angreifer eine nachlässige Prüfung von Berechtigungen aus, da sich Cursor jede MCP-Anbindung nur einmal genehmigen lässt und dann nie wieder. Täter können die entsprechende Konfiguration im Nachhinein jedoch ändern und auf beliebige Befehle und andere Quellen umleiten. Speziell, wenn mehrere Nutzer Zugriff auf die Konfiguration haben, zum Beispiel in einem gemeinsamen Repository, ist das Risiko erhöht.

Cursor IDE speichert die MCP-Konfiguration in der Datei .cursor/rules/mcp.json wie beispielsweise in der folgenden Abbildung:

Eine harmlose JSON-Konfiguration

(Bild: Check Point)

Um möglichen Attacken vorzubeugen, sollten Admins Dell PowerProtect Data Domain und Unity, UnityVSA sowie Unity XT auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer unter anderem mit Root-Rechten auf Instanzen zugreifen und diese kompromittieren.

In einer Warnmeldung zu den Schwachstellen in der Backuplösung Dell PowerProtect Data Domain führen die Entwickler auf, dass vor allem Lücken in Komponenten wie Curl und PostgreSQL geschlossen wurden. Doch der Code der Anwendung war auch direkt verwundbar und Angreifer hätten Sicherheitsmaßnahmen umgehen können, um eigene Accounts anzulegen (CVE-2025-36594 "kritisch").

Weil Eingaben nicht ausreichend überprüft werden (CVE-2025-30099 "hoch"), können Angreifer sogar Schadcode mit Rootrechten ausführen. Dagegen sind die Ausgaben 7.1.0.1.60, 7.10.1.70, 7.13.1.30, 8.3.1.0 und 8.4.0.0 gerüstet.

Unity ist unter anderem ebenfalls für Schadcode-Attacken als Root anfällig. Hier schafft Unity Operating Enviroment 5.5.1 Abhilfe. Alle vorigen Ausgaben sind den Entwicklern zufolge angreifbar.

Ob es bereits Attacken gibt, ist derzeit nicht bekannt.

Forscher von Cisco Talos haben mehrere Schwachstellen in der hardwarebasierten Sicherheitslösung ControlVault entdeckt. Der Zusatzchip soll als sicherer Speicherort etwa für Passwörter, biometrische Zugangsinformationen und Sicherheitscodes dienen und steckt in mehr als 100 Laptop-Modellen von Dell.

Über die auf den Namen "ReVault" getauften Schwachstellen könnten Angreifer die ControlVault-Firmware manipulieren. Auf diesem Wege lassen sich Authentifizierungsmechanismen umgehen und die betreffenden Systeme letztlich komplett übernehmen.

Dell stuft die Gefahr als kritisch ein und hat bereits im Juni 2025 schützende Firmware-Updates bereitgestellt – heise security hat schon damals einen Alert veröffentlicht. Besitzer potenziell betroffener Geräte sollten spätestens jetzt einen Blick auf Dells Advisory werfen und sicherstellen, dass die ControlVault-Firmware auf dem neuesten Stand ist.

Im Sicherheitshinweis nennt der Hersteller angreifbare Modelle und verlinkt aktualisierte Firmware und Treiber:

Primär betroffen sind verschiedene Dell-Pro-Modelle sowie Geräte aus den Modellreihen Latitude und Precision. Je nach Modell schließen Dells ControlVault3-Versionen ab 5.15.10.14 beziehungsweise die ControlVault3 Plus-Versionen ab 6.2.26.36 die Lücken.