Außer der Reihe veröffentlicht Microsoft Updates nur, wenn es brennt. Das tut es bei Office sowie Microsoft 365 Apps for Enterprise.

Um was geht es bzw. welche konkrete Anwendung ist betroffen?

Microsoft 365 Apps for Enterprise sowie die Office-Versionen 2016 (Version 16.0.0 bis vor 16.0.5539.1001), 2019 (16.0.0 bis vor 16.0.10417.20095), LTSC 2021 und LTSC 2024, jeweils die Varianten für 32 Bit und 64 Bit.

Was ist das Problem?

In Microsoft 365 und mehreren Office-Versionen existiert eine schwerwiegende ������������𾱳ٲ���ü�����, die bereits aktiv ausgenutzt wird. Es reicht, wenn das Opfer eine entsprechend manipulierte Office-Datei öffnet, um den Angriff zum Erfolg werden zu lassen. Die ������������𾱳ٲ���ü����� ist als verzeichnet und mit einem CVE-Wert von 7.8 als "hoch" eingestuft. Gegen diese sogenannte Zeroday-Attacke müssen aktiv Sofortmaßnahmen eingeleitet werden.

Was ist zu tun?

Microsoft stellt seit dem 26.01.2026 Sicherheitsupdates bereit, die das Problem beheben. Bitte installieren Sie diese Updates schnellstmöglich. 

Das Update für Office 2021 und 2024 wird serverseitig eingespielt; Anwender müssen lediglich ihre Office-Anwendungen komplett neu starten, um den Schutz zu erhalten. Das muss wohl auch für Microsoft 365 Apps for Enterprise gelten; Microsoft hat sich bislang dazu nicht geäußert, die einschlägige Webpage ist noch nicht aktualisiert.

Für mit Großhandelslizenzen installierte Office 2019, wie zum Beispiel Office Professional Plus 2019, ist die Unterstützung zwar ausgelaufen, doch hat der Softwarekonzern dennoch ein Update aufgelegt. Um die ������������𾱳ٲ���ü����� zu schließen, gilt es, auf Version 1808 Build 10417.20095 upzugraden. Für lokal installierte Office 2016 gibt es das , welches das Update KB5002522 vom 13. Februar 2024 ersetzt. Alternativ können Windows-Benutzer in den beiden letztgenannten Fällen die System-Registry manuell bearbeiten.

Wie finde ich heraus, welche Version ich habe? Und wo finde ich das mit diesen “Updates”?

Um herauszufinden, welche Version Sie benutzen und wo der Button für Office-Updates ist, gibt es hier eine kleine Anleitung dazu:  

Wie starte ich die Suche nach Updates?

Je nach Support-Status kann es für Endanwender ausreichend sein, die Office-Anwendung komplett neu zu starten. Wenn Sie jedoch manuell prüfen wollen, ob die Updates bereits eingespielt sind oder noch eingespielt werden müssen: Gehen Sie in Ihre Office Anwendung, klicken Sie auf “Datei” und dann unten auf “Konto”. Auf der rechten Seite unter “Produktinformationen” finden Sie den Button “Office-Updates”. Wenn Sie diesen drücken, erhalten Sie eine Auswahl - siehe Bild rechts.

Wo bekomme ich Hilfe her, wenn ich allein nicht weiterkomme?

Melden Sie sich bei Ihrem IT-Support vor Ort, beim Support-Team des Rechenzentrums oder auch gerne beim Team Informationssicherheit. Wir helfen Ihnen gerne!

Meldung gefunden unter  

Ein Update der Kollaborationssoftware Microsoft Teams, das ab Dezember 2025 ausgerollt werden soll, könnte das Arbeiten im Homeoffice für manchen zur Herausforderung machen. Der IT-Riese plant, über eine neue Funktion die tatsächliche Anwesenheit im Bürogebäude zu erfassen. Konkret soll Teams erkennen, ob sich der Nutzer mit dem unternehmenseigenen WLAN verbunden hat, und daraufhin automatisch den Arbeitsort entsprechend dem jeweiligen Gebäude festlegen.

Bisher gibt es in Teams schon die Möglichkeit, den Arbeitsort manuell zu bestimmen. Das ist etwa dafür gedacht, Kollegen in einem großen Bürokomplex oder auf einem Campus die Orientierung zu erleichtern. Mit der bevorstehenden Aktualisierung soll dieser Vorgang automatisiert werden, indem die Software – wahrscheinlich durch den Abgleich von Details wie IP-Adresse oder MAC-Adresse des Routers – feststellt, ob man wirklich vor Ort ist.

Diese Neuerung, die das Unternehmen auf seinem aktuellen angekündigt hat, verschafft Vorgesetzten eine klare Übersicht darüber, wo sich ihre Mitarbeiter gerade befinden. Laut der Roadmap ist das Feature sowohl für Windows als auch macOS geplant. Das Technik-Portal Tom's Guide : Für alle, die im Homeoffice eine Oase der Ruhe und Produktivität gefunden haben, stelle das Update eine potenzielle Bedrohung dar. Teams könnte künftig als "Petze" fungieren.

Technische Details noch unbekannt

Microsoft hat klargestellt, dass die Funktion zunächst standardmäßig nicht eingeschaltet sein wird. Die Aktivierung liegt letztlich in der Hand der IT-Verantwortlichen im Unternehmen. Eine Zustimmung der Endnutzer ist erforderlich.

Die Debatte über die automatisierte Standorterkennung erinnert an eine Taktik, die sich nach der Corona-Pandemie etwa Amazon-Mitarbeiter zunutze machten. Um die umstrittene Rückkehr ins Büro zu umgehen, versuchten einige, den Namen ihres privaten WLANs (SSID) so zu ändern, dass er dem des offiziellen Firmennetzwerks entsprach. Tom's Guide geht indes davon aus, dass eine Anwendung wie Microsoft Teams diesen einfachen Trick durch Prüfmechanismen durchschauen wird. Technische Details zur Umsetzung der neuen Funktion hat der Konzern bislang nicht verraten.

Wie steht es mit dem Datenschutz?

Die automatische Erfassung des Arbeitsortes wirft Fragen zum Datenschutz auf. Obwohl die Funktion darauf abzielt, die hybride Zusammenarbeit zu vereinfachen, beunruhigt der Gedanke der ständigen Überwachung viele Mitarbeiter. Microsoft hält in der Roadmap dagegen: Die Funktion könne nicht heimlich aktiviert werden. Admins dürften nicht im Namen der betroffenen Anwender einwilligen.

Die Erkennung basiert auf der SSID des Büros, die Techniker im System hinterlegen müssen. Letzteres weiß also: die Verbindung mit diesem bestimmten Netz bedeutet, dass sich der Mitarbeiter in einem gewissen Gebäude befindet. Microsoft Teams verwendet Geodaten bereits für andere Funktionen wie Notrufe und die Verbesserung der Anrufqualität.

Die skizzierte Funktion erfasst den Standort nur in Bezug auf das Unternehmens-WLAN und setzt den Status des Nutzers auf das hinterlegte Gebäude. Sie ist nicht darauf ausgelegt, eine ständige Geolokalisierung außerhalb der Arbeitsumgebung durchzuführen. Microsoft bezeichnet die Funktion als "neutral". Kritiker betonen aber, dass die unternehmensinterne Richtlinie entscheidend sei. Werde das Feature als Kontrollinstrument missbraucht, könne sie das Vertrauen in das Hybrid-Arbeitsmodell untergraben.

DSGVO und Betriebsverfassungsgesetz

Die Funktion könnte grundsätzlich mit der Datenschutz-Grundverordnung () vereinbar sein. Auf jeden Fall nötig wäre dafür die strikte Einhaltung mehrerer Bedingungen durch das Unternehmen, das das Feature verwenden will. Die rechtliche Zulässigkeit hängt im Wesentlichen von der Einwilligung der Mitarbeiter und dem Zweck der Datenerfassung ab. Das Unternehmen muss die freiwillige und informierte Zustimmung jedes einzelnen Mitarbeiters einholen. Es darf die Funktion primär nur zum Verbessern der Kollaboration einsetzen und nicht als Überwachungsinstrument. Zudem müssen die Transparenzpflichten erfüllt sein.

In Deutschland oder einem Staat mit ähnlichem Arbeitsrecht, das ein Mitbestimmungsrecht vorsieht, muss die Firma eine Betriebsvereinbarung abschließen. Das soll Kontrollmissbrauch ausschließen. Ohne die Freiwilligkeit der Mitarbeiter und klare Regeln zur Nutzung würde die Funktion wahrscheinlich gegen geltendes europäisches und deutsches Datenschutz- und Arbeitsrecht verstoßen.

Entsprechende Firmenvorhaben müssten vor allem arbeitsrechtlich geprüft werden, erläutert Niko Härting von der gleichnamigen Berliner Kanzlei gegenüber heise online: "Da geht es um das Persönlichkeitsrecht am Arbeitsplatz." Ein kontinuierliches Tracken dürfte rechtswidrig sein, solange es kein gewichtiges Interesse des Arbeitgebers gebe, um so einen tiefen Grundrechtseingriff zu rechtfertigen. Das könnte etwa in der Logistikbranche der Fall sein, führt der Anwalt aus. Sei ein Betriebsrat vorhanden, müsste dieser zustimmen. Bei der Einwilligung dürften Datenschutzrechtler zudem die Freiwilligkeit bezweifeln, wenn etwa Ängste vor Jobverlust eine Rolle spielen könnten.

Gefunden auf  

Derzeit grassieren Phishing-E-Mails mit Link, der Schadsoftware nachladen will:

Anhand der Bilder (angeblich vom Elsterportal) können Sie sehen, wie so eine E-Mail aussieht.

Es handelt sich hierbei NICHT um Elster, sondern eine Betrugsmasche.

Elster dient hier nur als Beispiel, wurde heute aber hier an der ����ֱ�� bereits als E-Mail gesichtet.

Bitte seien Sie besonders vorsichtig und klicken Sie den Link nicht an!

Bitte warnen Sie auch Ihre Vorgesetzen und Kolleginnen und Kollegen.

Denken Sie auch an die Mitarbeitenden im Homeoffice!

Sollten Sie Fragen haben oder Hilfe benötigen, dürfen Sie sich gern an uns wenden.

Team Informationssicherheit (Kontakt: Vanessa Anefeld)

������ä�ܳٱ���ܲԲ�:

Bild 1 - In einer E-Mail werden Sie gebeten auf einen Link zu einer Webseite zu klicken. (BITTE NICHT MACHEN!)
Bild 2- Um zur Webseite zu gelangen, müssten Sie vorher einen sog. “Captcha” ausfüllen oder bedienen, bei dem Sie bestätigen sollen, dass Sie kein Roboter, sondern ein Mensch sind. (Captchas sind meist Challenge-Response-Tests, bei denen der Befragte eine Aufgabe (Challenge) lösen muss und das Ergebnis (Response) zurückschickt. In Captchas sind die gestellten Aufgaben idealerweise so, dass sie für Menschen einfach zu lösen sind, für Computer hingegen sehr schwierig. Bsp: klicke alle Bilder mit Fahrrad drauf an.)
Bild 3 - Danach käme automatisch eine vermeintliche Fehlermeldung (bei denen Ihnen suggeriert werden soll, Sie hätten einen Fehler begangen).
Bild 4- Sie würden (um Ihren Fehler zu beheben) dann aufgefordert “Win + R” und “Strg + V” einzugeben. (DAMIT IST DANN GAME OVER - FÜR SIE!!!)

Sollten Sie dann Enter gedrückt haben, würde sich ein Powershell-Fenster öffnen und schnell schließen und irgendeine Malware nachladen sowie ausführen.  

+++++++++++++++++++++++++++++++++++++++++++

ENGLISCH VERSION

WARNING ABOUT PHISHING SCAMS

Phishing emails with a link that attempts to load malware are currently spreading:

Win + R Captcha Virus

Based on the images (allegedly from the Elster portal), you can see what such an email might look like.

This is NOT about Elster, but a scam. Elster is used here only as an example, but today it has already been seen here at the ����ֱ�� as an email. 
Please be especially careful and do not click on the link! Please also warn your supervisors and colleagues. Also think of employees working from home! 

If you have any questions or need assistance, you are welcome to contact us. Information Security Team (Contact: Vanessa Anefeld)

Explanation:
Image 1 - In an email, you are asked to click on a link to a website. (PLEASE DO NOT DO THIS!)
Image 2 - To access the website, you would first need to complete or interact with a so-called “Captcha,” where you are supposed to confirm that you are not a robot, but a human. (CAPTCHAs are usually challenge-response tests in which the respondent must solve a task (challenge) and submit the result (response). In CAPTCHAs, the tasks posed are ideally such that they are easy for humans to solve but very difficult for computers. Example: click on all images that contain a bicycle.)
Image 3 - Afterwards, an alleged error message would appear automatically (intended to make you believe that you have made a mistake).
Image 4 - You would then be prompted to enter “Win + R” and “Ctrl + V” (TO FIX YOUR ERROR - AFTER THAT, IT'S GAME OVER FOR YOU!!!)
If you then pressed Enter, a PowerShell window would open and quickly close, downloading and executing some kind of malware.

Nach aktiven Angriffen hat Microsoft den Internet-Explorer-Modus in Edge drastisch eingeschränkt. Angreifer nutzten sogar Zero-Days für Systemübernahmen.

Der Internet Explorer ist noch immer nicht tot. Jedenfalls nicht richtig. Angreifer nutzen seit August 2025 aktiv Zero-Day-Schwachstellen in der veralteten Chakra-JavaScript-Engine aus. Jetzt hat Microsoft reagiert und den IE-Kompatibilitätsmodus in Edge grundlegend umgebaut. Wie das Edge-Sicherheitsteam mitteilt, kombinierten die Angreifer Social Engineering mit einer Exploit-Kette, um vollständige Kontrolle über Zielsysteme zu erlangen.

Der IE-Modus ermöglicht es Edge-Nutzern, Webseiten in der alten Internet-Explorer-Umgebung zu laden – gedacht für Legacy-Anwendungen, die auf veraltete Technologien wie ActiveX oder Flash angewiesen sind. Obwohl der Internet Explorer am 15. Juni 2022 offiziell sein Lebensende erreichte, bleibt der Kompatibilitätsmodus für Unternehmensanwendungen und Behördenportale verfügbar. Es ist nicht das erste Mal, dass Überreste des als Sicherheitsrisiko verrufenen Microsoft-Browsers zum Sicherheitsproblem werden.

In drei Schritten zur Systemübernahme

Die aktuelle Angriffskette begann mit gefälschten Webseiten, die legitime Dienste imitierten. Über ein Flyout-Element forderten die Angreifer ihre Opfer auf, die Seite im IE-Modus neu zu laden. Dort nutzten sie zunächst eine ungepatchte Schwachstelle in der Chakra-Engine für das Einschleusen und Ausführen von Schadcode (Remote Code Execution). Ein zweiter Exploit ermöglichte anschließend den Ausbruch aus dem Browser heraus, um das gesamte System zu kompromittieren (Privilege Escalation).

Microsoft hat dazu weder CVE-Nummern veröffentlicht noch einen expliziten Patch für die Chakra-Lücke bereitgestellt. Stattdessen entfernte das Unternehmen als Antwort auf die Angriffe kurzerhand alle einfachen Zugangswege zum IE-Modus: Die dedizierte Toolbar-Schaltfläche, der Kontextmenü-Eintrag und die Option im sogenannten Hamburger-Menü sind verschwunden. Ob das im September veröffentlichte Kumulative Update für IE die ������������𾱳ٲ���ü�����n selbst beseitigt, ist somit weiterhin unklar.

Umständlicher Weg als Sicherheitsmaßnahme

Wer den IE-Modus künftig nutzen möchte, muss ihn explizit in den Edge-Einstellungen unter edge://settings/defaultBrowser aktivieren und jede einzelne URL manuell zu einer Allowlist hinzufügen. Erst nach einem Browser-Neustart können die gelisteten Seiten im IE-Modus geladen werden. Microsoft setzt darauf, dass dieser umständliche Prozess Nutzern mehr Zeit gibt, gefälschte URLs zu erkennen und die Entscheidung bewusster zu treffen.

Für Unternehmenskunden mit zentral verwalteten IE-Modus-Richtlinien ändert sich nichts – sie können den Kompatibilitätsmodus weiterhin per Group Policy konfigurieren. Microsoft betont jedoch erneut, dass Organisationen ihre Migration von Legacy-Technologien beschleunigen sollten, um von den Sicherheitsarchitekturen moderner Browser zu profitieren. Wer Wert auf Sicherheit legt, lässt den IE abgeschaltet.

Die Entscheidung, als Reaktion auf akute Angriffe anstelle dezidierter Patches den Zugang zu beschränken, ist bemerkenswert. Offenbar hält selbst Microsoft Internet Explorer für nicht mehr wartbar und das Risiko weiterer Zero-Days für zu hoch. Dass ein offiziell seit fast drei Jahren totes Produkt noch immer als Angriffsvektor dient, illustriert das Dilemma der Abwärtskompatibilität: Was als Brücke für den Übergang gedacht war, wird zur dauerhaften Sollbruchstelle. Unternehmen, die 2025 noch auf ActiveX-Steuerelemente angewiesen sind, sollten diese Warnung als letzten Weckruf verstehen.

Gefunden unter  

Microsoft hat das jährliche Herbst-Update für alle Nutzer von Windows 11 freigegeben. Die neuen Funktionen sind überschaubar, aber der Download nicht aufwendig.

Windows 11 kann ab sofort auf die Versionsstufe 25H2 aktualisiert werden. Microsoft hat das jährliche Herbst-Update seines aktuellen PC-Betriebssystems jetzt freigegeben. Neu ist die Unterstützung von Wi-Fi 7 im Unternehmensumfeld sowie einige KI-Funktionen, etwa im Datei-Explorer. Das 25H2-Update bekommen Anwender über das herkömmliche Windows-Update, aber Windows 11 25H2 steht auch als komplette ISO-Version zum Download zur Verfügung.

Der Softwarekonzern hatte Windows 11 25H2 Ende Juni angekündigt und dabei versprochen, dass "der Wechsel zu Windows 11 25H2 so einfach ist wie ein Neustart". Dafür setzt Microsoft auf "Enablement Packages" – kleine Pakete, die bereits auf dem Rechner installierte Programmteile, die jedoch noch ungenutzt schlummern, aktivieren. Das soll einen schnellen Umstieg auf 25H2 ermöglichen und keine Neuinstallationen erfordern. Auch Einstellungen sollen übernommen werden. Gleichzeitig soll der Download dieses eigentlich großen Updates damit weniger zeit- und datenintensiv werden.

25H2 ohne PowerShell 2 und WMIC, aber mit KI-Funktionen

Wie Anfang Juli angekündigt, wirft Microsoft Windows PowerShell 2.0 über Bord. Windows 11 25H2 enthält dieses Administratorwerkzeug nun nicht mehr. Auch das bereits seit einigen Jahren als veraltet eingestufte WMIC-Tool (Windows Management Instrumentation Command-Line) ist nicht mehr dabei. Neu ist hingegen, dass das Snipping-Tool Fenster-Videos aufnehmen kann. Zudem werden neue Auswahl-Möglichkeiten für die Click-to-Do-Funktion eingeführt. Die Auswahl kann jetzt als Freiform erfolgen, als rechteckige Auswahl oder mittels Taste "Strg" und Klick. Letzteres ermöglicht das Markieren mehrerer, auch unterschiedlicher Inhalts-Typen, die in die weitere Verarbeitung durch die KI-Funktion einbezogen werden sollen.

Im eigenen Blog für Windows-Profis listet Microsoft neben der Click-to-Do-Funktion auch die Einführung eines KI-Agenten für die Windows-Einstellungen unter 25H2. Diese beiden Features sind allerdings Nutzern moderner PCs vorbehalten, die als "Copilot+" eingestuft sind. Weiterhin kündigt der Konzern KI-Funktionen für den Datei-Explorer an, ohne diese jedoch genauer zu beschreiben.

Interne Verbesserungen gegen ������������𾱳ٲ���ü�����n

Mit dem 25H2-Update wird auch die Zeit für Sicherheitsupdates zurückgesetzt. Das bedeutet, dass Windows 11 25H2 entsprechende Patches für die nächsten zwei Jahre erhalten wird. Dies verspricht Microsoft all seinen jährlichen Windows-Updates. 25H2 soll auch einige Optimierungen unter der Haube enthalten. "Version 25H2 bietet signifikante Verbesserungen bei der Erkennung von Build- und Laufzeitschwachstellen sowie KI-gestütztes, sicheres Coding", heißt es im Windows-Blog. "Wir haben Version 25H2 entwickelt, um Sicherheitsbedrohungen unter Einhaltung robuster Richtlinien und Anforderungen für den Security Development Lifecycle (SDL) zu adressieren und zu minimieren."

Wer in den Windows-Einstellungen aktiviert hat, die neuesten Updates zu erhalten, sobald diese verfügbar sind, sollte das 25H2-Update für Windows 11 bereits bekommen können. Sollte das System jedoch mögliche Probleme mit installierten Anwendungen oder Inkompatibilitäten mit Treibern feststellen, wird das Update nicht durchgeführt, solange dies nicht behoben wird. Parallel bietet Microsoft Windows 11 25H2 jetzt aber auch als kompletten Download für Neuinstallationen an.

Gefunden unter  

Microsoft drängt Office-Dateien in die Cloud. Ab sofort landen mit für Windows erstellte Inhalte automatisch in der Microsoft-Cloud Onedrive. Nutzer, die das nicht möchten, müssen die automatische Speicherung (Autosave) deaktivieren. Alternativ können sie in den Einstellungen eine andere Cloud als automatischen Speicherort festlegen. Angeboten werden in den Einstellungen auch noch, ganz oldschool, der eigene Rechner oder gegebenenfalls ein Netzwerklaufwerk als Ort für das automatische Abspeichern.

Beginnt ein Nutzer zu schreiben und schließt Word danach ohne expliziten Speicherbefehl, fragt Word, ob der Inhalt in der Cloud gespeichert bleiben oder weggeschmissen werden soll. Die neuen Voreinstellungen greifen ab sofort in Word für Windows ab Version 2509 (Build 19221.20000). Für Excel für Windows und Powerpoint für Windows möchte Microsoft noch im Laufe des Jahres die gleichen Voreinstellungen einführen.

Der Copilot wartet schon

erläutert Microsofts Produktmanager Raul Munoz die Vorzüge automatischen Speicherns, nämlich, dass getane Arbeit seltener verloren geht. Das kann sonst bei einem Absturz des Programms, des ganzen Windows, oder einem Stromausfall durchaus vorkommen. Abspeichern in der Cloud ist dann vorteilhaft, wenn der Nutzer möchte, dass er selbst oder Dritte die Datei von anderen Geräten aus lesen und bearbeiten können.

Dazu zählt auch Microsofts Künstliche Intelligenz Copilot samt deren Agenten. Auch sie erhalten unmittelbar Zugriff auf die automatisch auf Onedrive gespeicherten Dateien. Eine entsprechende Lizenz vorausgesetzt, kann der Anwender die KI dann zur Auswertung oder weiteren Bearbeitung der Datei heranziehen.

Zu Änderungen der Voreinstellung bezüglich automatischen Speicherns in Word für MacOS macht Munoz in seinem Blogpost keine Angaben. Dafür legt er zwei überraschende Bugs in Word für Windows offen: Ist die Anzeige des Startbildschirms beim Aufruf von Word deaktiviert, schlägt die automatische Speicherung der ersten Datei jeder Sitzung fehl. Und wird während einer laufenden Word-Sitzung eine zweite Instanz des Programms aufgerufen, werden damit neu erstellte Dateien ebenfalls nicht automatisch gespeichert.

Gefunden auf  

Google schränkt die freie Nutzung zertifizierter -Geräte ein. Ab Herbst 2026 können nur noch Anwendungen installiert werden, deren Herausgeber sich zuvor bei Google registriert und dann die jeweilige Anwendung signiert hat. Für Installationen über den Google Play Store gilt das schon seit 2023; nun wird die Anonymität auch für Sideloading abgeschafft, also für direkt am Gerät, ohne Nutzung des Play Store, installierte Programme.

Eine inhaltliche Prüfung der Software, beispielsweise auf Schadcode, führt Google dabei ausdrücklich nicht durch. Dennoch stellt Google den am Montag angekündigten Schritt . Umgesetzt wird er durch eine neue, verpflichtende Android Developer Console speziell für Sideloading. Kritiker vermuten einen Zusammenhang mit Bestrebungen von Behörden mehrerer Länder, die . Durch die Registrierungspflicht sichert sich Google auch bei diesen Einfluss erntet Daten.

Ab Oktober 2025 werden ausgewählte App-Entwickler das neue Prozedere für Google testen dürfen, im März 2026 sollen dann alle einsteigen können. Im September 2026 soll Sideloading anonymer Apps in Brasilien, Indonesien, Singapur und Thailand unmöglich werden. Ab 2027 folgt schrittweise der Rest der Welt.

Lichtbildausweis und Rechnungen hochladen

Software-Herausgeber müssen personenbezogene Daten wie Name, Adresse, E-Mail-Adresse und Telefonnummer nachweisen, beispielsweise durch Rechnungskopien, und in vielen Ländern zusätzlich einen . Für Menschen, die im deutschen Sprachraum leben, schreibt Google zudem vor, dass der Lichtbildausweis von einer Behörde im EWR oder der Schweiz herausgegeben sein muss. Wer das nicht hat, bleibt außen vor.

Juristische Personen müssen zusätzlich bei der Firma Dun & Bradstreet (D&B) eine sogenannte DUNS Nummer lösen. Das ist zwar gebührenfrei möglich, dauert aber bis zu 30 Tage. In manchen Ländern ist Expressbearbeitung gegen Gebühr möglich, was immer noch mehrere Werktage dauern kann.

Auswirkungen

Der Registrierungszwang erhöht die Kosten für Malware-Verbreiter und ähnliche Straftäter; sie werden sich am Schwarzmarkt Zertifikate für die Android Developer Console kaufen müssen. Gleichzeitig erleichtert die Registrierung Behörden die Verfolgung politisch unliebsamer Programmierer und macht privates Herumprobieren weniger attraktiv.

Von einer Ausnahme für selbst geschriebene Software ist nämlich keine Rede. Ausgenommen sind nur nicht-zertifizierte Android-Geräte; derer gibt es außerhalb der Volksrepubliken China und Nordkorea nur wenige. Sobald irgendein Google-Dienst vorinstalliert ist, handelt es sich um ein zertifiziertes Gerät.

Gefunden auf  

Neue Tricksereien mit QR-Codes melden Sicherheitsforscher von Barracuda. Die Angriffe kommen per E-Mail und umgehen viele der in großen Unternehmen üblichen Sicherheitsscans. Liest der Endnutzer seine E-Mails dann auch noch mit aktivierter HTML-Darstellung, wird er leicht zum Opfer.

QR-Codes (quick response codes) sind bei Verbrechern beliebt, weil sich darin Hyperlinks kodieren lassen, die Menschen nicht lesen können. Damit lassen sich leichter falsche Hyperlinks unterjubeln. Unter einem Vorwand werden die Zielpersonen dazu gebracht, den Code einzuscannen; flugs landen sie auf einer vom Angreifer kontrollierten Webseite. Diese Methode wird so häufig für das Ernten fremder Zugangsdaten genutzt (Phishing), dass es für Phishing mit QR-Code einen eigenen Begriff gibt: Quishing.

Separate Dateien ergeben zusammen ein Bild

Eine verblüffend einfache Methode besteht darin, einen irreführenden QR-Code in zwei (oder mehr) Teile zu teilen. Diese Bilddateien werden beispielsweise einem Phishing-Email angehängt. Sicherheitssysteme versuchen in der Regel, die Bilddateien einzeln auszuwerten, finden in den einzelnen QR-Schnipseln aber nichts Verwertbares und lassen die gefährliche Nachricht passieren.

Mittels HTML können die Bilder allerdings am Endgerät des Nutzers so angeordnet werden, dass sie optisch wie ein einzelnes Bild wirken – sowohl für das menschliche Auge als auch die Kamera eines Smartphones. Scannt die Zielperson den virtuell zusammengesetzten QR-Code ein, wird sie auf eine betrügerische Webseite umgeleitet, wo beispielsweise Malware oder eine Phishing-Falle warten.

Verschachtelung

Schon länger bekannt ist die Idee, zwei QR-Codes in einander zu verschachteln. Welcher der beiden Codes dann von einem Smartphone ausgewertet wird, hängt insbesondere von der Entfernung zwischen Code und Kamera ab. Ein automatisiertes Sicherheitssystem wird allerdings versuchen, das gesamte Ding auszuwerten.

Barracuda hat Angriffe mit solchen verschachtelten QR-Codes beobachtet. Ein enthaltener Hyperlink ist völlig harmlos und zeigt beispielsweise auf eine Suchmaschine, während der andere Link in die Falle führt. Die Angreifer setzen darauf, dass die verschachtelten Codes die Sicherheitsscanner in die Irre führen. Die aufgeteilten QR-Codes sind ein Trick des Phishing as a Service Toolkits Gabagool; die verschachtelten QR-Codes eine Methode, die das Konkurrenzprodukt Tycoon 2FA beherrscht.

ASCII-Code QR

Bereits im Oktober hat Barracuda über gefinkelte QR-Codes berichtet, die gar nicht als Bilddatei daherkommen, sondern aus ASCII-Codes zusammengesetzt sind. Der ASCII-Code kennt neben Buchstaben und Satzzeichen noch allerlei andere Zeichen, darunter 32 unterschiedliche "Blöcke", beispielsweise.

Diese werden in einer Matrix aneinandergereiht. Verbunden mit einem Cascading Style Sheet (CSS), das die Farbe einzelner ASCII-Zeichen ändert und beispielsweise auf Weiß stellt, lassen sich Textgebilde erstellen, die von Smartphones als QR-Code erkannt werden, aber am Sicherheitsscanner unerkannt vorbeigekommen sind. Alternativ lassen sich die weißen Stellen aus geschützten Leerzeichen aus dem ASCII-Repertoire zusammenstellen.

Argwohn angezeigt

Außerhalb geschlossener Systeme sind QR-Codes grundsätzlich verdächtig. Wir empfehlen Argwohn gegenüber QR-Codes sowie grundsätzlich, E-Mails nur als Plain-Text darzustellen. Das sieht zwar nicht so hübsch aus, erschwert aber eine ganze Reihe unterschiedlicher Überwachungs- und Angriffsmethoden, nicht nur QR-Code-Tricks.

Angreifer profitieren mit QR-Codes von einem speziellen Vorteil: Sie lassen sich in der Regel nicht mit demselben Endgerät auswerten, auf dem sie angezeigt werden. Wer meint, einen auf seinem Computerbildschirm angezeigten QR-Code auswerten zu müssen, greift in aller Regel zum Smartphone (was aber nicht unbedingt erforderlich wäre). Und während Arbeitgeber versuchen, mittels Sicherheitssystemen den Aufruf verdächtiger URLs von Arbeitsplatzcomputern hintanzuhalten, ist das zum QR-Scan genutzte Smartphone nicht selten privat und agiert an den Sicherheitssystemen vorbei.

So erreichen Phisher ungemütlich hohe Erfolsquoten. In der Praxis hat sich Anti-Phishing-Training leider als weitgehend nutzlos erwiesen.

Gefunden auf  

Notfallupdates schließen eine aktiv ausgenutzte in , und . Anwender sollten dringend patchen.

Apple hat zum 20. August per Notfallupdate eine gefährliche ������������𾱳ٲ���ü����� in iOS, iPadOS und MacOS geschlossen. Wie der Konzern in einer Sicherheitsmeldung erklärt, gibt es Hinweise darauf, dass die Lücke bereits im Rahmen eines "äußerst raffinierten Angriffs auf bestimmte Personen" ausgenutzt wird. Anwender sollten daher zeitnah die neuesten Sicherheitsupdates einspielen, um sich vor möglichen Angriffen zu schützen.

Die besagte ������������𾱳ٲ���ü����� ist als CVE-2025-43300 registriert und bezieht sich laut Apple auf das Image-I/O-Framework, welches es Anwendungen ermöglicht, verschiedene Image-Dateiformate zu lesen und zu schreiben. Die Schwachstelle kann darin eine Speicherkorruption zur Folge haben, wenn eine speziell gestaltete Image-Datei verarbeitet wird.

Den Angaben zufolge handelt es sich um einen Fehler des Typs Out-of-bounds Write (). Derartige ������������𾱳ٲ���ü�����n lassen sich oftmals ausnutzen, um Speicherinhalte wie beispielsweise Rücksprungadressen zu manipulieren und damit in den Programmfluss einzugreifen. Die Folge ist eine mögliche Schadcodeausführung durch den Angreifer.

Noch keine Details bekannt

Technische Details zur ������������𾱳ٲ���ü����� sowie zu den beobachteten Angriffen liefert Apple in seiner Meldung nicht. Das ist allerdings nicht ungewöhnlich. Solche Informationen werden der Öffentlichkeit in der Regel erst Wochen später zur Verfügung gestellt. Dadurch bekommen Anwender genug Zeit, um die bereitgestellten Patches einzuspielen, bevor weitere Angreifer die Schwachstelle für eigene Zwecke ausnutzen können.

Behoben hat Apple das Problem nach eigenen Angaben durch eine verbesserte Grenzwertprüfung. Verteilt wird der Patch über die Betriebssystemversionen iOS und iPadOS 18.6.2, iPadOS 17.7.10 sowie MacOS Sequoia 15.6.1, Sonoma 14.7.8 und Ventura 13.7.8. Anwender sollten ihre Apple-Geräte entsprechend aktualisieren, um vor den laufenden Angriffen geschützt zu sein. 

Gefunden auf  

In der Nacht zum Dienstag hat Google den Chrome-Browser ungeplant aktualisiert. Eine ������������𾱳ٲ���ü����� wird bereits attackiert.

Google verteilt ein ungeplantes Update für den Webbrowser Chrome – auf eigentlich allen unterstützten Plattformen. Ursache ist eine bereits aktiv im Internet angegriffene ������������𾱳ٲ���ü����� im Browser.

In der Versionsankündigung schreiben die Chrome-Entwickler, dass die Aktualisierung lediglich einen Sicherheitsfix enthält. Es handelt sich um eine Schwachstelle vom Typ "Type Confusion", bei dem unerwartete Datentypen an Programmcode-Teile übergeben werden. Das löst unerwartetes Verhalten aus und Angreifer können im konkreten Fall, der die JavaScrip-Engine V8 betrifft, das für beliebige Schreib- und Lesezugriffe durch sorgsam präparierte, bösartige Webseiten missbrauchen (CVE-2025-6554 / noch kein EUVD, kein CVSS, Risiko laut Google "hoch").

Attackiertes Sicherheitsleck

Gegenmaßnahmen durch eine Konfigurationsänderung hat Google bereits am 26. Juni für alle Plattformen im Stable-Kanal verteilt. Die Lücke hatte am 25. Juni die Google Threat Analysis Group entdeckt. Die Schwachstelle schließen die Entwickler nun jedoch korrekt mit Code-Änderungen. "Google ist bekannt, dass ein Exploit für CVE-2025-6554 in freier Wildbahn existiert", ergänzen die Entwickler zudem – die ������������𾱳ٲ���ü����� wird also bereits von bösartigen Akteuren missbraucht.

Den Fehler bügeln die Versionen Chrome 138.0.7204.63 für Android, 138.0.7204.119 für iOS, 138.0.7204.96 für Linux, 138.0.7204.92/.93 für Mac und schließlich 138.0.7204.96/.97 für Windows aus. Die Extended-Stable-Fassungen hieven die Entwickler zudem auf die Versionen 138.0.7204.93 für macOS und 138.0.7204.97 für Windows.

Aktuellen Versionsstand prüfen

Um zu prüfen, ob Chrome bereits auf dem aktuellen Stand ist, können Nutzerinnen und Nutzer den Versionsdialog aufrufen. Den erreichen sie durch Klick auf das Symbol mit den drei aufgestapelten Punkten rechts von der Adressleiste und dort den weiteren Weg über "Hilfe" hin zu "Über Google Chrome". Das stößt gegebenenfalls auch den Update-Vorgang an, wenn der Browser veraltet ist.

Auf anderen Plattformen sind die App-Stores oder etwa unter Linux die Distributions-spezifische Softwareverwaltung für die Aktualisierung zuständig. Da der Chromium-Code die Basis für andere Webbrowser wie Microsofts Edge darstellt, dürften auch diese in Kürze aktualisierte Fassungen verteilen. Nutzer sollten diese dann zügig installieren.

Zuletzt hatte Google Anfang Juni eine bereits angegriffene Schwachstelle in Chrome ausgebessert. Auch diese ������������𾱳ٲ���ü����� haben die Entwickler zunächst durch das Verteilen einer Konfigurationsänderung abgemildert.

Gefunden auf  

Beim dänischen Digitalministerium sollen alle Angestellten ohne Microsoft auskommen. Stattdessen werde man Linux und LibreOffice nutzen, sagt die Ministerin.

Das dänische Digitalisierungsministerium soll in den kommenden Monaten komplett auf Microsoft verzichten und statt Windows Linux benutzen sowie von Office 365 auf LibreOffice wechseln. Das hat die Ministerin Caroline Stage (Moderaterne) in einem Interview mit der Tageszeitung Politiken angekündigt. Das erfolgt nur wenige Tage, nachdem die beiden größten Kommunen des Landes ähnliche Schritte angestoßen haben. Noch im Sommer sollen demnach jetzt die Hälfte der Angestellten des Ministeriums mit Linux und LibreOffice ausgestattet werden. Wenn dabei alles so läuft, wie erwartet, werde das komplette Ministerium bis zum Herbst von Microsoft befreit sein, fasst Politiken zusammen.

Viel zu abhängig von wenigen Anbietern

Die Abkehr des Digitalisierungsministeriums von Microsoft erfolgt demnach vor dem Hintergrund einer neuen Digitalisierungsstrategie, in der der "digitalen Souveränität" des Königreichs Priorität eingeräumt wird. Eine Verringerung der Abhängigkeit von US-Tech-Konzernen wird laut Zeitungsberichten auch von der Opposition gefordert. Erst vor wenigen Tagen hat die Verwaltung der Hauptstadt Kopenhagen angekündigt, den Einsatz von Microsoft-Software prüfen zu wollen. Die zweitgrößte Gemeinde Aarhus hat sogar bereits begonnen, Microsoft-Dienste zu ersetzen. Stage erklärte Politiken jetzt, dass man dabei kooperieren sollte und es sich nicht um ein Wettrennen handle. Alle Kommunen sollten zusammenarbeiten und dabei Open Source stärken.

Auf die Frage, wie ihr Ministerium reagieren würde, wenn der Umstieg nicht so leicht vonstattengeht, antwortete Stage noch, dass man dann einfach für eine Übergangszeit zum alten System zurückkehren und nach anderen Optionen suchen würde: "Wir werden dem Ziel nicht näher kommen, wenn wir nicht starten." Bislang habe sie auch nur von Angestellten gehört, die den Schritt begrüßen. Aber in ihrem Ministerium, in dem es hauptsächlich um die Digitalisierung gehe, erwarte sie sich ohnehin viel Interesse. Außerdem versicherte sie, dass es bei der Initiative nicht um Microsoft alleine gehe, man sei generell viel zu abhängig von einigen wenigen Anbietern.

Als Hintergrund für den Schritt wird in dem Artikel auch auf verwiesen, wo ein von Microsoft betriebener E-Mail-Account abgekoppelt wurde. Das habe europaweit für Aufruhr gesorgt. In Dänemark kommt hinzu, dass der neue US-Präsident Donald Trump über Wochen angekündigt hat, dass sein Land Grönland übernehmen wolle. Die Insel im Nordatlantik ist ein selbstverwalteter Bestandteil Dänemarks, die Empörung über Trumps Ansinnen ist groß. Deshalb ist das Bestreben, die Abhängigkeit von US-Konzernen zu verringern, dort offenbar noch etwas größer als im Rest Europas.

Gefunden auf  

Seit dem 27. Mai nutzt Meta öffentliche Facebook- und Instagram-Inhalte volljähriger Nutzer aus Deutschland, um damit seine KI-Modelle zu trainieren. Wer der Datennutzung nicht bis zum 26. Mai aktiv widersprochen hat, kann seine früheren Beiträge nun nicht mehr ausschließen lassen. Doch: Für neue Inhalte bleibt ein Restschutz möglich – unter bestimmten Bedingungen.

Wie die mitteilt, lässt sich auch nach Ablauf der Frist noch ein Widerspruch einlegen – dieser wirkt sich allerdings nur auf Inhalte aus, die ab dem Zeitpunkt des Widerspruchs veröffentlicht werden. Frühere Posts, Storys, Kommentare oder Bilder bleiben für das KI-Training zugänglich.

Der Widerspruch ist direkt online über ein Formular möglich – separat für und . Voraussetzung: Man muss im jeweiligen Konto eingeloggt sein und die dort hinterlegte E-Mail-Adresse angeben. Eine Begründung ist nicht nötig. Bei erfolgreichem Widerspruch erfolgt eine Bestätigung per Mail.

Anrufe von unbekannten Nummern entpuppen sich oft als Spam oder Werbung. Wir zeigen Ihnen, wie Sie in Sekundenschnelle erkennen, ob der Anruf vertrauenswürdig ist oder nicht.

Das Smartphone klingelt, eine unbekannte Nummer ruft an und der Mitarbeiter am Telefon will Sie überzeugen, in Aktien zu investieren oder Ihren Handyvertrag zu wechseln. In manchen Fällen wird auch gleich aufgelegt, sobald Sie den Anruf entgegennehmen.

Meist handelt es sich um unerwünschte Spamanrufe, bei denen Betrüger oder unseriöse Unternehmen Ihre Daten abgreifen wollen oder Sie bei einem Rückruf in eine Kostenfalle locken.

Viele neuere Handys erkennen Spamanrufe inzwischen automatisch und zeigen auf dem Display eine Warnung mit "potenzieller Spam" an. Werbeanrufe ohne explizite Erlaubnis sind in Deutschland rechtlich nicht erlaubt, weshalb die Betrüger häufig Ihre Nummern wechseln. Somit klappt es nicht immer, dass das Smartphone dubiose Anrufer erfasst.

Mit einem cleveren Tool finden Sie dennoch schnell heraus, ob die Nummer, die Sie anruft, echt ist.

Spam-Anrufe checken: Mit diesen Tools geht's

Sind Sie sich unsicher, ob eine Nummer aus einem Callcenter stammt, können Sie kostenfreie Webseiten nutzen. Zum Beispiel:

Dort können Sie einfach die Daten eingeben und überprüfen, ob jemand anderes bereits angerufen wurde. Neben der Rufnummer können Sie zusätzlich auch die Art des Anrufes (Werbung, Umfrage, Gewinnspiel, etc.) einsehen und abwägen, ob sich ein Rückruf lohnt.

Laut wird unter anderem vor folgenden Nummern und ihren Betrugsmaschen gewarnt:

• 03080098648
  Anrufername: Apotherkerbund
  Betrugsmasche: Vermeintliche Umfrage zur Gesundheit mit angeblichem kostenlosen Zeitungsabos als Aufwandsentschädigung.
• +16465535819
  Anrufername: Immobilien Anruf New York
  Betrugsmasche: Call-Center, das mit veralteten Immobilien-Scout-Anzeigen Wohnungen vermarktet.
• 022166951483
  Anrufername: EWE Energiezentrale
  Betrugsmasche: Vermeintlicher Energieanbieter aus Köln, der versucht, unseriöse Stromtarife zu verkaufen.
• 01637875622
  Anrufername: Gewinnspiel
  Betrugsmasche: Die Anruferinnen und Anrufer täuschen ein Gewinnspiel-Abo vor, das sofort bezahlt werden muss oder sonst für 12 weitere Monate kostenpflichtig verlängert wird.
• 069222224635
  Anrufername: Energieportal
  Betrugsmasche: Angebliches Energieunternehmen, das mit Kaltakquise versucht, alternative Energiequellen zu bewerben.
• 017688854744
  Anrufername: O2
  Betrugsmasche: Datenbetrug und Ja-Masche, bei der nach gesprochenem "Ja" Scheinverträge geschlossen werden. Die Betrüger geben sich als Mitarbeitende von O2 aus und fragen Sie zu Ihren Daten.
• 053120970053
  Anrufername: Strafverfolgungsbehörde
  Betrugsmasche: Betroffene werden mit einer Computeransage getäuscht, die vorgibt von Europol (Europäisches Polizeiamt) zu sein. Die gleiche Nummer wird mitunter für andere Betrugsversuche, z. B. angeblichen Finanz- und Krypto-Beratungen verwendet.

Einige Userinnen und User geben an, von den Spam-Anrufern unter Druck gesetzt worden zu sein. Sollten Sie einen dubiosen Anruf erhalten und ebenfalls dazu gedrängt werden, einen Vertrag abzuschließen, können Sie auf Höflichkeiten verzichten. Legen Sie einfach auf und blockieren die Nummer. Um andere Menschen vor der Abzocke zu warnen, melden Sie die Daten bestenfalls noch bei Cleverdialer oder tellows.

Unser Rat: Werden Sie von einer unbekannten Rufnummer angerufen, gehen Sie am besten erst gar nicht dran. Seriöse Unternehmen hinterlassen meist eine Nachricht auf Ihrer Mailbox oder die Rufnummer lässt sich via Googlesuche leicht einem Unternehmen zuordnen.

Gefunden auf CHIP.

Microsoft hat außerplanmäßige Updates für Windows Server 2022 und Windows 10 bereitgestellt. Sie lösen Probleme mit Hyper-V und Bitlocker.

Microsoft hat Softwareaktualisierungen außerhalb der gewohnten Update-Intervalle für Windows Server 2022 und Windows 10 veröffentlicht. Sie korrigieren teils etwas exotischere Fehler, die zumindest zum Teil von den Sicherheitsupdates des Mai-Patchdays dieses Jahres stammen.

Zum Wochenende hat Microsoft für Windows Server 2022 ein ungeplantes Update bereitgestellt. Im Windows Message Center schreibt der Konzern, dass bestimmte vertrauliche virtuelle Maschinen, die in Hyper-V unter Windows Server 2022 laufen, plötzlich und unerwartet nicht mehr reagieren oder neu starten können. Das habe Einfluss auf die Verfügbarkeit der Dienste und erfordere manuelle Eingriffe. Vorrangig betreffe das Azure Confidential VMs. Microsoft erwartet, dass Standard-Hyper-V-Umgebungen davon nicht betroffen seien, "außer in seltenen Fällen, in denen Vorschau- oder Pre-Production-Konfigurationen" zum Einsatz kämen.

Außer der Reihe: Update für Windows Server 2022

Das hebt das Betriebssystem auf den Versionsstand 20348.3695. Es ist ausschließlich im Windows-Update-Katalog verfügbar. Microsoft ordnet das Update als Nicht-Sicherheits-Update ein. Die Entwickler empfehlen zudem, dieses Update zu nutzen, sofern die Mai-Sicherheitsupdates noch nicht angewendet wurden. Wer von dem Problem nicht betroffen sei, müsse das ungeplante Update hingegen nicht installieren.

Etwa früher in der vergangenen Woche haben Microsofts Entwickler zudem ein Update außerhalb des regulären Rhythmus herausgegeben, das Probleme mit bestimmten Intel vPro-Prozessoren und aktivierter Trusted-Execution-Technology (TXT) sowie Bitlocker beseitigen soll. Laut Eintrag im Windows Message Center kann das Sicherheitsupdate aus dem Mai kann in dieser Konstellation den Prozess "lsass.exe" unerwartet beenden, was die automatische Reparaturfunktion startet. Auf Geräten, die Bitlocker-Verschlüsselung nutzen, führt das zum Prompt mit der erzwungenen Abfrage des Bitlocker-Wiederherstellungsschlüssels.

Außer der Reihe: Update für Windows 10

Der Knowledgebase-Eintrag KB5061768 beschreibt das ungeplante Update für Windows 10, das dieses Problem lösen soll. Es hebt die Windows-10-Versionen auf 19044.5856 respektive 19045.5856. – steht also für Windows 10 21H2 und 22H2 zur Verfügung; die Entwickler nennen zudem die Fassungen Windows 10 Enterprise LTSC 2021 sowie Windows 10 IoT Enterprise LTSC 2021. Microsoft verteilt das Update ebenfalls ausschließlich über den Windows Update Katalog. Da Intel vPro eher nicht in Umgebungen zum Einsatz kommt, die Windows Home oder Pro-Versionen nutzen, seien diese wahrscheinlich eher nicht von dem Problem betroffen. In Organisationen, in denen das Problem nicht auftritt, muss das Update nicht installiert werden, erörtern Microsofts Entwickler zudem.

Gefunden auf  

Datenbank mit 184 Millionen Zugangsdaten entdeckt

Das Datenleck umfasst Passwörter für Nutzerkonten bei Microsoft, Google, Facebook, Amazon, Apple, Nintendo, Paypal und vielen weiteren.

Ein Sicherheitsforscher namens Jeremiah Fowler hat eine riesige ungesicherte Datenbank mit Anmeldeinformationen für mehr als 184 Millionen Onlineaccounts entdeckt. In einem eigenen Blogbeitrag spricht der Forscher von 47,42 GByte an Zugangsdaten. Woher die Daten genau stammen, ist noch unklar. Wahrscheinlich wurden sie von Malware oder aus früheren Datenlecks zusammengetragen.

Die inzwischen vom Netz genommene Datenbank enthielt laut Fowler E-Mail-Adressen, Nutzernamen, Passwörter und URLs der Dienste, für die die jeweiligen Anmeldedaten vorgesehen sind. Zu Letzteren zählen unter anderem solche von Microsoft, Google, Facebook, Instagram, Snapchat, Roblox, Discord, Netflix, Paypal, Amazon, Apple, Nintendo, Spotify und Wordpress.

Einem Bericht von Wired zufolge fand Fowler in einem Auszug von 10.000 Datensätzen auch Zugangsdaten für Banking-Anwendungen, Wallets und Regierungsportale von 29 verschiedenen Staaten. Die Passwörter lagen wohl jeweils im Klartext vor. Fowler kontaktierte mehrere Betroffene und konnte dadurch verifizieren, dass die Anmeldedaten echt und zumindest einige der Passwörter noch gültig waren.

Hoster greift ein

Wie lange die Datenbank frei zugänglich war und wem sie genau gehört, konnte der Sicherheitsforscher nicht feststellen. Nachdem er sich an den zuständigen Hosting-Anbieter World Host Group gewandt hatte, leitete dieser unmittelbar Maßnahmen ein, um die Daten vom Netz zu nehmen. Ungewiss bleibt jedoch, ob zuvor noch andere Akteure die Datenbank entdeckten und die enthaltenen Daten bereits abgriffen.

Fowler geht davon aus, dass die Zugangsdaten von Infostealer-Malware eingesammelt wurden. Es ist jedoch ebenso denkbar, dass die Daten zumindest teilweise aus anderen Quellen wie beispielsweise früheren Datenlecks stammen und lediglich von einem unbekannten Akteur in einer großen Datenbank zusammengetragen wurden.

Nutzer sollten handeln

Anwender, die sich vor einem möglichen Missbrauch schützen wollen, sollten regelmäßig bei Diensten wie oder dem des Hasso-Plattner-Instituts prüfen, ob ihre Anmeldedaten in bekannten Datenlecks enthalten sind, und gegebenenfalls ihre Passwörter ändern. Bei der Vergabe von Passwörtern sollte zudem darauf geachtet werden, dass diese ausreichend komplex sind und nicht mehrfach verwendet werden.

Überdies lohnt es sich, von verfügbaren Zwei-Faktor-Authentifizierungsmethoden (2FA) Gebrauch zu machen, da ein erbeutetes Passwort allein in diesem Fall nicht ausreicht, um das zugehörige Konto zu kapern.

Gefunden auf  

Wenn Angreifer Buchstaben in URLs durch gleich aussehende Unicode-Zeichen ersetzen, ist das schwer aufzudecken. Eine neuer CI-Job schafft Abhilfe.

Sicherheitsforscher und Curl-Maintainer Daniel Stenberg hat in seinem Blog auf ein Sicherheitsproblem durch Unicode-Schwindel aufmerksam gemacht, das für Reviewer, Merger und CI-Jobs schlecht zu erkennen ist.

Stenberg zeigt in seinem Blog, wie ein Angreifer ein gängiges ASCII-Zeichen im Code durch ein fast identisches aus der Unicode-Tabelle ersetzt. Das ist im Code-Editor nicht zu erkennen, ergibt aber beispielsweise eine andere URL, hinter der sich bösartiger Code verstecken kann. Als Beispiel verwendet der Blogger ein armenisches g.

Die Zahl möglicher Verwechselungen ist groß: Auf der Seite von Unicode.org lassen sich die vielen ähnlichen Zeichen auflisten, hier im Bild am Beispiel von heise.

Unicode einschränken

Die Diff-Ansicht auf GitHub weist beim in der URL ausgetauschten g zwar in Rot einen geänderten Absatz aus, aber mit menschlichem Auge ist kein Unterschied ersichtlich und ein Maintainer neigt womöglich dazu, die Neuerung einfach durchzuwinken. Im Gegensatz dazu warnt das auf Code-Review spezialisierte Gitea vor der Art der Änderung: "This line has ambigious unicode characters".

Stenbergs Curl-Projekt hat als Gegenmaßnahme einen speziellen CI-Job zugefügt, der prüft, an welchen Stellen Unicode erlaubt ist, und wo nicht. Laut Stenberg hat sich auch GitHub des Problems angenommen und will es fixen.

Gefunden auf  
 

In der Versionsankündigung erklären Googles Entwickler, dass sie vier ������������𾱳ٲ���ü�����n mit der aktualisierten Fassung abdichten. Da nur zwei davon von externen IT-Forschern gemeldet wurden, liefert Google nur zu diesen beiden überhaupt Informationsschnipsel.

Google Chrome: Schwachstelle mit Exploit

Eine ������������𾱳ٲ���ü����� basiert auf einer unzureichenden Richtlinien-Durchsetzung in der Komponente "Loader" von Chrome. Der Schwachstelleneintrag ergänzt dazu, dass Angreifer aus dem Netz dadurch Informationen "cross-origin" mit manipulierten HTML-Seiten abgreifen können – eine Webseite kann dadurch Informationen aus einer anderen abgreifen (CVE-2025-4664 / EUVD-2025-14909, CVSS 4.3, Risiko laut Google "hoch", laut CVSS "mittel"). "Google sind Berichte bekannt, wonach ein Exploit für CVE-2025-4664 in freier Wildbahn existiert", schreibt der Hersteller weiter.

Eine zweite ������������𾱳ٲ���ü����� betrifft die Mojo-Komponente – sie dient etwa zur Interprozesskommunikation –, die unter nicht näher beschriebenen Umständenn falsche Handles zurückliefern kann. Die potenziellen Auswirkungen beschreibt Google nicht näher; weder der CVE- noch der EUVD-Eintrag sind bislang öffentlich verfügbar, die in der Regel noch einen Halbsatz mehr an Informationen liefert (CVE-2025-4609, kein CVSS-Wert, Risiko laut Google "hoch"). Zu den beiden weiteren Schwachstellen gibt es bislang keine Informationen außer der, dass sie existieren.

Die fehlerbereinigten Browser-Versionen sind Google Chrome 136.0.7103.125 für Android, 136.0.7103.113 für Linux sowie 136.0.7103.113/114 für macOS und Windows.

�ձ�������DzԲ����ü�ڳܲԲ� machen

Die aktualisierten Programmversionen lassen sich mit dem Aufrufen des Versionsdialogs installieren, sofern der Browser noch nicht auf aktuellem Stand ist. Prüfen lässt sich das durch Klick auf das Browser-Menü, das sich hinter dem Symbol mit dem drei aufeinandergestapelten Punkten an der rechten Seite der Adressleiste befindet. Der weitere Weg geht dann über "Hilfe" hin zu "Über Google Chrome".

Unter Linux ist in der Regel die Softwareverwaltung der genutzten Distribution für die Aktualisierung zuständig. Die ������������𾱳ٲ���ü�����n betreffen die Chromium-Basis und dürften daher auch davon abstammende Browser wie Microsofts Edge anfällig machen. Für den stellt Microsoft meist am Freitag ein Update bereit. Das sollten Nutzerinnen und Nutzer dann zügig anwenden – das gelingt dort ebenfalls über den Versionsdialog.

Gefunden auf  

Microsoft warnt vor fünf Zero-Day-Lücken in Windows. Hinzu kommen weitere gefährliche Schwachstellen, die eine Schadcodeausführung ermöglichen.

Zum Mai-Patchday hat Microsoft wieder allerhand ������������𾱳ٲ���ü�����n in seinen Produkten geschlossen. Darunter befinden sich in diesem Monat fünf Schwachstellen mit hohem Schweregrad (CVSS zwischen 7,5 und 7,8), die alle gängigen Windows-Varianten betreffen und für die Microsoft bereits eine aktive Ausnutzung festgestellt hat. Anwender und Administratoren, die ihre Windows-Systeme schützen wollen, sollten zeitnah patchen.

Zwei der aktiv ausgenutzten Lücken ( und ) beziehen sich auf den CLFS-Treiber von Windows, eine auf die DWM Core Library (). Alle drei Schwachstellen ermöglichen eine Rechteausweitung und weisen eine geringe Angriffskomplexität auf. Angreifer mit einfachen Benutzerrechten können dadurch Systemrechte erlangen.

Die ebenfalls ausgenutzte Lücke bezieht sich auf Microsofts Scripting Engine und ermöglicht eine Schadcodeausführung aus der Ferne. Das Opfer muss dafür allerdings den Edge-Browser im IE-Modus verwenden und einen vom Angreifer bereitgestellten Link anklicken. Mit der fünften Lücke () können Angreifer mit lokalem Zugriff über einen Winsock-Treiber Adminrechte erlangen.

Remote-Desktop-Client ebenfalls angreifbar

Ebenfalls erwähnenswert sind zwei Pufferüberlaufschwachstellen im Remote-Desktop-Client von Windows. Diese sind als und registriert und erreichen ebenfalls einen hohen Schweregrad (CVSS: 8,8). Damit die Lücken ausgenutzt werden können, muss sich eine Zielperson per RDP mit einem vom Angreifer kontrollierten Server verbinden. Infolgedessen kann es zu einer Schadcodeausführung auf dem Rechner des Opfers kommen.

Insgesamt hat Microsoft zum Mai-Patchday 83 ������������𾱳ٲ���ü�����n geschlossen. Fünf der Patches betreffen den Webbrowser Edge und wurden aus dem Chromium-Projekt übernommen. Einige Lücken beziehen sich auf Microsofts Cloud-Plattform Azure sowie Microsoft Office.

Viele der gepatchten Windows-Lücken betreffen nicht nur die Desktop-Varianten Windows 10 und 11, sondern ebenso Windows Server 2008 (R2), 2012 (R2), 2016, 2019, 2022 und 2025. Um möglichen Sicherheitsvorfällen vorzubeugen, sollten Nutzer und Administratoren die verfügbaren Patches möglichst bald einspielen.

Gefunden auf  

Angreifer hatten das Paket rand-user-agent, das unter anderem für automatische Tests und zum Web-Scraping dient, mit Schadcode versehen.

Auf npm sind kompromittierte Varianten des Pakets "rand-user-agent" aufgetaucht, die einen Remote-Access-Trojaner (RAT) an Bord hatten. Der Random User Agent ist zwar als veraltet gekennzeichnet, kommt aber nach wie vor auf gut 40.000 wöchentliche Downloads. Wer es in den vergangenen Wochen verwendet hat, könnte sich Schadcode eingefangen haben.Das Paket generiert User-Agents-Strings, also Zeichenketten, die Clients wie Browser an einen Server schicken. Der Herausgeber des Pakets WebScrapingAPI nutzt es für das Web-Scraping. Es lässt sich aber auch für andere Zwecke wie automatisierte Tests oder Sicherheitschecks verwenden.

Schleichende Updates mit Trojaner

Die letzte offizielle Version 2.0.82 ist sieben Monate alt, und der Herausgeber WebScrapingAPI hat das Paket als deprecated (veraltet) gekennzeichnet. Das auf der npm-Seite verlinkte GitHub-Repository existiert inzwischen nicht mehr.

Das auf Supply-Chain-Security spezialisierte Unternehmen aikido hat jedoch . Diese haben in der Datei dist/index.js Schadcode eingeführt, der in der Vorschau auf npm nicht auf Anhieb zu sehen und zudem mehrfach verschleiert war.

Der Code richtet einen verdeckten Kanal zur Kommunikation mit einem Command-and-Control-Server (C2) ein und installiert Module in einem Ordner namens .node_modules. Der Client schickt anschließend unter anderem eine ID und Informationen zum verwendeten Clientbetriebssystem an den Server.

Windows bekommt einen vermeintlichen Python-Pfadeintrag als Extra

Zusätzlich legt das Initialisierungsskript unter Windows einen neuen Ordner an und fügt ihn an den Start der Umgebungsvariablen PATH ein. Der Ordnername Python3127 soll suggerieren, dass es sich um einen offiziellen Ordner für die Programmiersprache handelt, und so Schadcode als vermeintliche Python-Tools erscheinen und sich womöglich durch offizielle Python-Distributionen aufrufen lassen.

Die kompromittierten Pakete sind inzwischen wieder von npm entfernt worden. Sie trugen die Versionsnummern 2.083, 2.084 und 1.0.110. Wer in den vergangenen Monaten das Paket verwendet hat, sollte überprüfen, ob sich Schadcode auf dem Rechner befindet oder eine Kommunikation mit dem C2 stattgefunden hat. 

Gefunden unter  

Anfällige Airplay-Geräte lassen sich über das Netzwerk vollständig übernehmen. Angreifer können etwa Malware einschleusen und Mikrofone anzapfen.

Sicherheitsforscher von Oligo haben mehrere ������������𾱳ٲ���ü�����n in Apples Airplay-Protokoll sowie dem zugehörigen Airplay SDK aufgedeckt. Damit sind nicht nur Geräte von Apple selbst angreifbar, sondern auch solche von Drittanbietern, sofern diese Airplay unterstützen. Angreifer können auf anfälligen Geräten über das Netzwerk Schadcode ausführen, Daten auslesen und Ausfälle herbeiführen.

Die Forscher fassen die entdeckten Schwachstellen sowie durch deren Kombination ermöglichte Angriffsvektoren in einem Blogbeitrag unter dem Begriff Airborne zusammen. Geräte mit Airplay-Unterstützung lassen sich demnach vollständig von Angreifern übernehmen, sofern eine drahtlose lokale Netzwerkverbindung zum jeweiligen Zielgerät besteht.

Danach dienen die infiltrierten Geräte potenziell auch als Ausgangspunkt für Angriffe auf weitere Geräte, die sich im gleichen Netzwerk befinden. Das soll aufgrund zweier Zero-Click-Lücken, die als CVE-2025-24252 und CVE-2025-24132 registriert sind, sogar automatisiert möglich sein. Auf deren Basis soll sich eine Malware entwickeln lassen, die automatisch weitere in Reichweite befindliche Airplay-Geräte infiziert.

Auch Carplay ist anfällig

Insgesamt wollen die Oligo-Forscher in Verbindung mit Airplay 23 ������������𾱳ٲ���ü�����n an Apple gemeldet haben, von denen 17 eine CVE-Kennung erhalten haben. Einige davon eigenen sich zur Schadcodeausführung aus der Ferne (RCE), was die Forscher auf Youtube unter anderem an einem Airplay-fähigen Lautsprecher von Bose demonstrieren.

Auf dem Display dieses Lautsprechers erscheint nach dem Angriff ein von den Forschern eingeschleustes Bild. Einem Angreifer soll es auf gleichem Wege aber auch möglich sein, eigene Musik abzuspielen oder die im Gerät verbauten Mikrofone anzuzapfen, um in der Nähe des Lautsprechers geführte Gespräche abzuhören. Der gleiche Angriffsvektor funktioniert wohl ebenfalls in Autos mit Carplay-Systemen.

Millionen von Geräten betroffen

Die Sicherheitsforscher gehen davon aus, dass die entdeckten ������������𾱳ٲ���ü�����n neben Apple-Geräten wie dem iPhone, Mac oder Apple TV auch mehrere Zehnmillionen Geräte von Drittanbietern betreffen. Zudem weisen die Forscher darauf hin, dass das ebenfalls betroffene Carplay weltweit in mehr als 800 verschiedenen Fahrzeugmodellen zum Einsatz kommt.

Apple selbst hat bereits ein aktualisiertes Airplay-SDK bereitgestellt, das die entdeckten ������������𾱳ٲ���ü�����n schließt. Anwendern wird vor diesem Hintergrund empfohlen, die Betriebssoftware ihrer Geräte auf den neuesten Stand zu bringen. Wie es um die Verfügbarkeit von Patches für Drittanbietergeräte bestellt ist, ist jedoch angesichts der enormen Vielfalt an Herstellern und Modellen schwer einzuschätzen.

Gefunden auf  

Microsoft hat über Windows Update wichtige Sicherheitspatches für unter anderem Azure, Bitlocker und Kerberos bereitgestellt.

Derzeit haben Angreifer Windows 10/11 und verschiedene Windows-Server-Versionen im Visier. In welchem Umfang die Attacken ablaufen, ist derzeit unklar. Admins sollten zügig sicherstellen, dass Windows Update aktiv ist und PCs auf dem aktuellen Stand sind.

Noch keine Updates für Windows 10

Die ausgenutzte Schwachstelle (CVE-2025-29824 "hoch") betrifft den Protokolldateisystem-Treiber. Viele Informationen zur Lücke sind zurzeit nicht verfügbar. Die wenigen Angaben lassen darauf schließen, dass sich lokal authentifizierte Angreifer System-Rechte verschaffen können. Da es sich um eine Speicherfehler-Schwachstelle (use-after-free) handelt, ist davon auszugehen, dass Angreifer diesen Fehler mit bestimmten Eingaben auslösen können.

In der Position nach einer erfolgreichen Attacke liegt es nahe, dass Angreifer Schadcode ausführen und so ganze Systeme kompromittieren. In einer Warnmeldung zur Lücke führt Microsoft aus, dass die Sicherheitspatches für Windows 10 32 Bit und 64 Bit bislang nicht verfügbar sind. Wann sie folgen, ist noch unklar.

Weitere Gefahren

Mehrere Schadcode-Schwachstellen stuft Microsoft als "kritisch" ein. Diese betreffen unter anderem Excel (CVE-2025-27752 "hoch"), Hyper-V (CVE-2025-27491 "hoch") und Windows Remote Desktop Services (CVE-2025-27480 "hoch"). Im letzten Fall muss sich ein Angreifer lediglich via RDP mit einem verwundbaren System verbinden, eine Race Condition auslösen, um Schadcode auf Computer schieben zu können. Die Hyper-V-Updates für Windows 10 sollen zu einem späteren Zeitpunkt erscheinen.

Ferner gibt es noch Patches für etwa Office, SharePoint und Windows Defender. An diesen Stellen können Angreifer unter anderem unbefugt Informationen einsehen, DoS-Zustände auslösen oder sich höhere Nutzerrechte verschaffen. Ausführlichere Informationen zu den ������������𾱳ٲ���ü�����n führt Microsoft im Security Update Guide auf.

Gefunden auf  

Phishing ist für viele Menschen mittlerweile ein Begriff. Wusstet ihr aber, dass es viele verschiedene Arten der betrügerischen Cyberangriffe gibt? Wir zeigen euch, welche wichtigen Phishing-Typen ihr kennen solltet.

Egal, ob für Privatpersonen oder Unternehmen: Phishing-Angriffe stellen ein hohes Risiko für Daten dar. Laut dem ist Phishing nach wie vor die größte digitale Bedrohung für viele Menschen. Die Cybersecurity & Infrastructure Security Agency in den USA geht sogar davon aus, dass 90 Prozent aller erfolgreichen Cyberangriffe mit einer Phishing-Attacke beginnen.

Beim Phishing werden Personen online von Cyberkriminellen kontaktiert. Diese geben dabei vor, ein wichtiger Kontakt oder ein Unternehmen zu sein, mit dem die Personen zu tun haben. Das kann von engen Freunden über Vorgesetzte hin zu Banken und Online-Händlern reichen. Ziel der Phishing-Nachrichten ist es, eine möglichst dringliche Situation vorzutäuschen und dementsprechend schnelles Handeln von den Personen zu erzwingen. In der Eile sollen sie dann sensible Daten eingeben und übersenden.

Diese Daten landen bei den Cyberkriminellen. So verschaffen sie sich Zugriff auf Konten, Mail-Postfächer oder sogar auf interne Strukturen von Unternehmen. Mittlerweile haben sich Cyberkriminelle einige Mittel und Wege einfallen lassen, um uns zu täuschen. Wir verraten euch die wichtigsten Phishing-Arten, damit ihr euch besser davor schützen könnt. 

Der Klassiker unter den Phishing-Angriffen nimmt eine breite Masse von Internetnutzern ins Visier. Cyberkriminelle verschicken Nachrichten im Namen von verschiedenen Organisationen an Mail-Adressen, die sie oftmals im Darknet gekauft haben. Die Adressen landen dort häufig durch Leaks oder Hacking-Angriffe. In den Nachrichten wird etwa behauptet, dass euer Bankkonto oder Account bei einem Unternehmen gesperrt wurde. Um es zu entsperren, müsst ihr nur sensible Daten in ein Formular eingeben. Cyberangreifer verschleiern dabei oftmals ihre Mail-Adresse, um den Empfängern vorzugaukeln, dass es sich um eine echte Nachricht des Unternehmens handeln würde. Oftmals reicht es schon aus, nicht auf die Mail zu antworten und euch in das zugehörige Konto einzuloggen. Gibt es dort keine sichtbaren Probleme, könnt ihr noch beim Support nachfragen. 

Das Spear-Phishing funktioniert im Grunde wie klassisches Phishing. Der Unterschied ist, dass die Cyberkriminellen nur eine besonders kleine Gruppe von Menschen ins Visier nehmen. Das können etwa alle Mitarbeiter eines Unternehmens oder nur bestimmte Abteilungen wie IT-Angestellte sein. Die Angreifer zielen dabei oftmals auf sensible Daten aus dem Unternehmen ab – oder Zugriff auf ganze Systeme.

Whaling ist noch einmal eine etwas präzisere Variante von Spear-Phishing. Statt eine bestimmte Gruppe in einer Organisation zu kontaktieren, greifen die Cyberkriminellen gezielt die wichtigsten Personen an. Dazu zählen dann etwa CEOs oder andere Mitarbeiter mit Zugriff auf alle Daten des Unternehmens. Sollte ein Whaling-Angriff erfolgreich sein, folgen darauf häufig weitere Angriffe. Denn mit Zugriff auf das Mail-Postfach eines CEOs können die Angreifer das ganze Unternehmen mit echt aussehenden Phishing-Mails torpedieren.

Vishing ist ebenfalls eine Unterart der Phishing-Angriffe, unterscheidet sich aber primär durch die Plattform des Angriffs. Denn im Unterschied zu E-Mail-Angriffen werden potenzielle Ziele von den Cyberkriminellen angerufen. Der Name Vishing ist eine Kombination aus Phishing und Voice. Dabei können die Angreifer ebenfalls vorgeben, dass sie von einem Unternehmen wie Microsoft stammen und es angeblich ein Problem mit dem PC der Angerufenen geben würde. Auch Anrufe von vermeintlichen Bankmitarbeitern sind verbreitet, da diese Vishing-Angriffe schnell Zugriff auf Kontodaten ermöglichen.

Auch das Smishing unterscheidet sich durch die Plattform, auf dem die Phishing-Angriffe stattfinden. Smishing ist eine kürzere Version des Begriffs SMS-Phishing. Dementsprechend werden die betrügerischen Nachrichten über SMS oder Messenger-Dienste wie Whatsapp verschickt. Gerade bei Messengern versuchen die Betrüger dabei oftmals den Account zu übernehmen, indem sie einen Code von euch verlangen, während sie sich als einer eurer Kontakte ausgeben.

Bei Clone-Phishing haben die Angreifer meist schon Zugriff auf ein bestimmtes E-Mail-Postfach einer Privatperson oder eines Unternehmens. Damit sie sich keine Nachrichten ausdenken müssen, die besonders echt aussehen, fangen sie einfach echte Mails ab und kopieren diese. Während das Original gelöscht wird, verändern sie in der Kopie etwa nur einen Link. So könnte etwa eine Mail von euren Kollegen eintreffen, die sich um den aktuellen Quartalsbericht dreht. Im Anhang wurde ein Link zu einem Google-Doc hinterlegt. Der schädliche Link führt dann aber nicht zu dem Doc, sondern zu einer Seite, die eure Login-Daten abgreift oder Schadsoftware herunterlädt.

Angler-Phishing macht sich Social-����ֱ��-Plattformen zunutze. Cyberkriminelle erstellen Fake-Konten, die denen von bekannten Unternehmen oder Prominenten nachempfunden sind. Sie treten dann in direkten Kontakt mit Privatpersonen, antworten auf ihre Kommentare oder liken ihre Beiträge. So schaffen sie Vertrauen. Das kann besonders dann Schaden anrichten, wenn die Angreifer sich als Kunden-Support ausgeben. Sie schicken dann Links zu vermeintlichen Support-Webseiten mit Lösungsansätzen. Tatsächlich fangen sie darüber entweder sensible Daten ab oder infizieren die Geräte der Ziele mit Schadsoftware.

Beim Pharming manipulieren die Angreifer den Zugriff auf Webseiten. Um das zu erreichen, wurde oftmals auf anderem Wege Malware auf das Endgerät der Ziele geladen. Beim Aufrufen von Webseiten manipuliert die Schadsoftware dann die Weiterleitung und führt die Nutzer auf Fake-Seiten. Sämtliche Daten, die dann von den Nutzern auf der Seite eingegeben werden, landen bei den Cyberkriminellen.

Der böse Zwilling beim Evil-Twin-Phishing ist die Kopie eines Wi-Fi-Zugangs. Befindet ihr euch etwa in einem Café mit einem öffentlichen WLAN, können Angreifer einen Hotspot auf ihrem Endgerät erstellen und diesen ähnlich benennen. Oftmals sind die Hotspots im Vergleich zu den richtigen Zugangspunkten nicht geschützt, sodass sich Nutzer ohne Hindernisse einloggen können. Durch die direkte Verbindung zu den Geräten der Hacker können zahlreiche Daten von euren Geräten gestohlen werden.
 

Gefunden auf

Google hat dem Webbrowser Chrome ein Update spendiert. Es schließt eine Zero-Day-Lücke, die bereits angegriffen wird.

Google hat in der Nacht zum Mittwoch eine Aktualisierung für den Webbrowser Chrome veröffentlicht. Sie stopft ein Zero-Day-Sicherheitsleck, das Angreifer bereits in freier Wildbahn missbrauchen. Wer Chrome einsetzt, sollte zügig prüfen, ob bereits die fehlerkorrigierte Fassung installiert und aktiv ist.

In der Versionsankündigung schreiben Googles Entwickler, dass unter nicht genannten Umständen in der Mojo-Komponente, die Funktionen zur Interprozesskommunikation bereitstellt, von Chrome unter Windows ein inkorrekter Handle vergeben wird (CVE-2025-2783, kein CVSS, Risiko laut Google "hoch"). Ein Handle liefert Zugriff auf Ressourcen, in diesem Fall jedoch auf die falschen, was sich von Angreifern missbrauchen lässt – und das machen sie bereits, was Google in der Versionsankündigung auch erwähnt: "Google hat Kenntnis von Berichten, dass ein Exploit für CVE-2025-2783 im Netz existiert".

Missbrauchte Zero-Day-Lücke von Kaspersky entdeckt

Die attackierte Zero-Day-Lücke haben IT-Forscher von Kaspersky entdeckt. Sie beschreiben in einem Blog-Beitrag die beobachteten Angriffe der "Operation ForumTroll"-APT. Demnach beginnt der Angriff mit einer Phishing-Mail, die vorgeblich zu einem Event des internationalen Wirtschafts- und Politikwissenschaftsforum einlädt und zu einem Programm sowie Anmeldeformular führt. Beide Links führen im Webbrowser Chrome unter Windows jedoch zu einer Malware-Infektion, ohne weitere Interaktion der Opfer.

Details zur Schwachstelle will auch Kaspersky noch nicht erläutern, aber beschreibt den Fehler als Logikfehler zwischen Chrome und Windows-Betriebssystem, der erlaubt, den Sandbox-Schutz von Chrome zu umgehen. Die beobachteten Angriffe richteten sich insbesondere gegen russische Medienrepräsentanten, Angestellte von Bildungseinrichtungen und Regierungsorganisationen. Kaspersky geht davon aus, dass die Angreifer die Opfer ausspionieren wollen. Die Links aus den Phishing-Mails sind derzeit nicht mehr aktiv, Angreifer können den Exploit jedoch jederzeit anderweitig anwenden.

Die aktuellen fehlerkorrigierten Versionen lauten Chrome 134.0.6998.177/.178 für Windows. Die extended-Stable-Version ist mit Stand 134.0.6998.178 unter Windows auf dem fehlerkorrigierten Stand.

�ձ�������DzԲ����ü�ڳܲԲ�

Ob Chrome bereits aktuell ist, verrät der Versionsdialog. Der öffnet sich nach Klick auf das Browser-Menü, das sich hinter den drei aufeinander gestapelten Punkten rechts von der Adressleiste befindet. Dort geht es weiter über "Hilfe" zu "Über Google Chrome". Wenn das Update noch nicht installiert wurde, bietet der Dialog die Aktualisierung und anschließend den zum Aktivieren der neuen Software nötigen Browser-Neustart an.

Unter Linux nimmt üblicherweise die Softwareverwaltung der eingesetzten Distribution das Update vor – da die Lücke jedoch unter Windows auftritt, ist ein Update hier nicht drängend. Andere Chromium-basierte Webbrowser wie Microsoft Edge dürften in Kürze ebenfalls ein Update bereitstellen, das Nutzerinnen und Nutzer ebenfalls zeitnah anwenden sollten.

Vor genau einer Woche hatte Google bereits ein wichtiges Update für den Chrome-Browser veröffentlicht. Es hat eine als kritisches Risiko eingestufte ������������𾱳ٲ���ü����� gestopft.

Gefunden auf htps://www.heise.de/news/Jetzt-updaten-Zero-Day-Sicherheitsluecke-in-Chrome-wird-angegriffen-10328773.html 

Zoom Rooms Controller, Workplace & Co. sind unter verschiedenen Betriebssystemen angreifbar.

Angreifer können an ������������𾱳ٲ���ü�����n in Zoom Meetings SDK, Rooms Client, Rooms Controller, Workplace App, Workplace Desktop App und Workplace VDI Client ansetzen. Sind Attacken erfolgreich, verfügen sie über höhere Nutzerrechte. Aktualisierte Ausgaben schließen die Schwachstellen.

Sicherheitsupdates installieren

die bedrohten Anwendungen auf. Bislang gibt es keine Berichte, dass Angreifer Lücken bereits ausnutzen.

Haben Angreifer Netzwerkzugriff und sind authentifiziert, können sie etwa an einer Schwachstelle (CVE-2025-0151 "hoch") ansetzen, um ihre Rechte zu erhöhen. Wie so ein Angriff im Detail abläuft, ist bislang nicht bekannt.

Außerdem können Angreifer via DoS-Attacke Abstürze provozieren (CVE-2025-0150 "hoch"). Von den ������������𾱳ٲ���ü�����n sind die Betriebssysteme Android, iOS, Linux, macOS und Windows bedroht. Admins sollten sicherstellen, dass die aktuellen, gegen die geschilderten Attacken geschützten Ausgaben installiert sind. Diese findet man der Zoom-Website.

Gefunden auf

Durch speziell gestaltete Hyperlinks in Dokumenten können Angreifer bei potenziell zur Ausführung bringen.

In der weitverbreiteten freien Office-Suite Libreoffice klafft eine ������������𾱳ٲ���ü�����, die es Angreifern ermöglicht, auf fremden Windows-Systemen Schadcode zur Ausführung zu bringen. Auf dem Zielsystem muss dafür lediglich ein speziell gestalteter Hyperlink in einem Dokument geöffnet werden. Die Schwachstelle ist als registriert und erreicht mit einem CVSS-Wert von 7,2 einen hohen Schweregrad.

Libreoffice verfügt bekanntlich über eine Funktion, durch die sich Hyperlinks durch Halten der Strg-Taste direkt mit einem Klick öffnen lassen. Wie die Entwickler der Office-Suite erklären, wird der jeweilige Link dabei an die des Windows-Betriebssystems übergeben.

Links zu ausführbaren Dateien werden dabei von Libreoffice blockiert, so dass es durch das bloße Öffnen eines Links eben nicht zu einer potenziell gefährlichen Codeausführung kommen kann. Durch CVE-2025-0514 lässt sich der dafür zuständige Mechanismus aber wohl umgehen, um beispielsweise eine Malware zur Ausführung zu bringen.

Ein Patch ist verfügbar

Der Sicherheitsmeldung zufolge gelingt die Ausnutzung der ������������𾱳ٲ���ü����� durch die Verwendung spezieller Nicht-Datei-URLs, die von Shellexecute aber als Windows-Dateipfade interpretiert werden. Wie diese URLs im Detail aussehen, erklären die Libreoffice-Entwickler allerdings nicht. Betroffen sind den Angaben nach die Libreoffice-Versionen 24.8.0 bis einschließlich 24.8.4.

Geschlossen wurde die Schwachstelle mit der . Anwendern wird empfohlen, die Office-Suite zeitnah zu aktualisieren, um sich vor möglichen Angriffen zu schützen. Die aktuelle Version lässt sich herunterladen. Zur Betroffenheit des neueren Libreoffice 25.2 machen die Entwickler keine Angaben.

Gefunden auf

Bundesgesundheitsminister Karl Lauterbach (SPD) muss nehmen, was und wen er kriegen kann. Kurz vor dem Start der elektronischen Patientenakte für alle (ePA) hat sich Alena Buyx als Fan des Projekts geoutet. O-Ton im Interview mit Zeit-Online (hinter Bezahlschranke): „Ich freue mich darüber und werde nicht widersprechen.“ Ausgerechnet Buyx! Zu Corona-Zeiten ist sie als Vorsitzende des Deutschen Ethikrats noch jeden politisch verordneten Grundrechtsverstoß mitgegangen. Dazu verlangte sie eine allgemeine Impfpflicht. Man müsse , denn „wir wissen alles über die Sicherheit“, und wer nicht mitmache, habe keine Solidarität verdient. Wenigstens rückblickend lag die 47-jährige Werteverfechterin in puncto Pandemie ziemlich oft daneben – gelinde ausgedrückt. Jetzt sagt sie über die ePA: „Ein perfektes System wird es niemals geben, und das Streben nach perfekter Risikominimierung führt dazu, dass etwas nie fertig wird.“ Und gefragt nach den eklatanten ������������𾱳ٲ���ü�����n im System setzt sie nach: „Das ändert für mich wenig.“

Für einen ganz erheblichen Kreis an Experten ändert das eine ganze Menge. Seit Wochen melden sich wieder und wieder Akteure des Gesundheitswesens zu Wort – Mediziner, Klinikbetreiber, Apotheker, Datenschützer –, die das Vorhaben kritisieren, in Zweifel ziehen, rundweg ablehnen oder mindestens für einen Aufschub plädieren. Zum Beispiel rät der Verband der Kinder- und Jugendärzte (BVKJ) Eltern dazu, . Die Freie Ärzteschaft warnt vor einer „Abschaffung der Schweigepflicht“, einer „Täuschung von Patienten und Ärzten“ und einem . Der Berufsverband Deutscher der Psychologinnen und Psychologen (BDP e.V.) spricht von , Stigmatisierungen, mithin falsche Behandlungen, wenn sensible Daten über psychische Erkrankungen „in falsche Hände“ gerieten.

Gesenkter Daumen vom Ärztepräsident

Nicht zuletzt der Präsident der Bundesärztekammer (BÄK), Klaus Reinhardt, straft die Planspiele mit Liebesentzug. Bei der Neujahrstagung seines Verbandes empfahl er Verbrauchern, das Angebot so lange nicht zu nutzen, wie bestehende Risiken bestünden. Momentan seien die  einfach zu groß. Jedenfalls gibt es kaum noch jemanden, der für Lauterbachs „Revolution“ den Daumen hebt, abgesehen von den Lobbyisten der Gesundheits- und Datenökonomie, und eben die sogenannte Medizinethikerin Buyx. Aber den Minister ficht die massive Kritik nicht an. Ob er die ePA guten Gewissens empfehlen könne, wollte web.de zu Wochenanfang von ihm wissen. Antwort: , die Daten der Bürger „sind sicher vor Hackern“.

Tatsächlich? Vor dem Jahreswechsel hatten IT-Spezialisten des Chaos Computer Club (CCC) auf dessen Jahreskongress demonstriert, wie sich mit wenig Mühe und auf verschiedenen Wegen auf bereits gespeicherte ePA-Daten zugreifen lässt, ganz ohne die Gesundheitskarte der Betroffenen. Stand jetzt sei dies in Zukunft bei allen über 70 Millionen Akten möglich. Aber während die Sicherheitsforscher „in der ePA wühlten, wurde am Fraunhofer-Institut das Sicherheitskonzept von einer KI gelesen und mit geringen Mängeln für ‚sicher‘ befunden“, heißt es in einer  des Verbands. Das Vorgehen könne nur „Stirnrunzeln hervorrufen“, und die freudige Feststellung, die ePA für alle sei sicher, müsse getrost als „halluzinierte Fehldiagnose“ betrachtet werden.

Erpressungspotenzial ungeheuerlich

Auch der Gesundheitsminister hat die Befunde des CCC später zu einem  heruntergespielt. Ganz anders liest sich das beim Verband der Freien Ärzte, die Lauterbach und der zuständigen Nationalen Agentur für Digitale Medizin (gematik) eine „verantwortungslose Vernebelungstaktik“ vorwerfen. Aufschlussreich ist das, was die stellvertretende Bundesvorsitzende Silke Lüder in einer  vom Montag ausführt. „Die Krankheitsdaten werden nicht auf der Karte gespeichert, sondern in der Cloud bei den Firmen IBM und Rise – im Klartext, nicht einmal Ende-zu-Ende verschlüsselt.“ Der Zugriffsschlüssel sei „einfach nur die Versichertenkarte“, ohne Prüfung, ob die Karte an die richtige Person ausgegeben wurde. Man benötige lediglich Namen, Versichertennummer und das Geburtsdatum des Versicherten, dann werde die Karte praktisch an jegliche Anschrift geliefert. „Da bei der neuen Version der ePA 3.0 auch noch die zugehörige PIN-Nummer abgeschafft wurde, kann man mit jeder Karte sehr einfach künftig auf die ganze Krankengeschichte zugreifen“, so Lüder. Für jede Aktion beim Online-Banking nutze man eine Zwei-Faktor-Authentifizierung, „nur bei den sensibelsten Daten, die wir haben, gibt es diese Sicherheit nicht“.

„Mindestens genauso gravierend“ sind für Verbandschef Wieland Dietrich „mögliche illegale Zugriffe“ durch praktisch alle Berufsgruppen des Gesundheitswesens. Insgesamt seien etwa zwei Millionen Menschen zugangsberechtigt. „Das ist ein Unding“, jeder Mitarbeiter einer Apotheke oder etwa einer Fußpflegepraxis kann nach Stecken der Karte sehen, ob der Patient eine erektile Dysfunktion, psychische Probleme oder eine Geschlechtskrankheit habe. „Das Erpressungspotenzial ist ungeheuerlich“, so Dietrich, der darauf pocht, „dass dieses gefährliche Projekt in der jetzigen Form sofort gestoppt wird“, und weiter: „Wir sollen als Ärzte unter Androhung finanzieller Strafen vom Staat gezwungen werden, die Arztbriefe unserer Patienten faktisch öffentlich zu machen. Das grenzt an Nötigung.“

Profiteure vorm Beutezug

Nötigung ist überhaupt das bestimmende Motiv der ganzen Unternehmung. Die NachDenkSeiten hatten am 20. November im Beitrag  die Hintergründe aufgezeigt. Die ePA existiert schon seit vier Jahren, war aber ein Ladenhüter. Kaum einer wollte sie. Nun werden die gesetzlich Versicherten zu ihrem „Glück“ gezwungen. Sie wird automatisch für alle eingerichtet, es sei denn, man widerspricht aktiv nach dem sogenannten Opt-out-Modell. Das aber machen aus Unkenntnis oder Bequemlichkeit die allerwenigsten. Nach Angaben der großen Krankenkassen ist die Zahl der Ablehnungen verschwindend gering.

Profitieren werden insbesondere die großen Pharmakonzerne, die sich von der Neuerung lukrative, aber nicht selten nutzlose Innovationen erhoffen. Das deutsche Gesundheitssystem ist vor allem deshalb so teuer, weil es  ist, auf kostspielige Gerätemedizin, vielfach unsinnige Operationen und ein Meer an Medikamenten mit zweifelhafter Wirkung setzt. Die ePA verspricht dahingehend ganz neue Möglichkeiten. Die in ihr abgelegten Daten werden künftig der Forschung grundsätzlich zur Verfügung gestellt, der in öffentlicher Hand wie auch der privaten. Allerdings sollen die Daten laut Gesetz lediglich pseudonymisiert und nicht anonymisiert werden. Fachleute beklagen, damit ließen sich die Informationen mit bloß geringem Aufwand der zugehörigen Einzelperson zuordnen. Möglichem Missbrauch sind hier Tür und Tor geöffnet und Szenarien, dass auch Versicherer, Kriminelle, Sicherheitsbehörden und Geheimdienste zulangen, praktisch programmiert.

Ein Like von Facebook

Frei bedienen können sollen sich auch die mächtigen IT-Konzerne. Ende November bei der Digital Health Conference in Berlin schwärmte Lauterbach über den riesigen und wertvollen Datenschatz, der mit dem Projekt gehoben und beim Forschungsdatenzentrum des Bundes (FDZ) gelagert werde. Sämtliche Techgiganten seien daran interessiert, um damit ihre KI-Systeme zu trainieren und eine „generative KI“ aufzubauen. , und man habe sich von Israel beraten lassen, bemerkte der Minister. Ihm schweben noch weitere Durchbrüche vor, etwa in Sachen Telemedizin. So könnten Patienten künftig per Videoschalte behandelt werden und Ärzte „direkt alle Befunde einsehen und so entscheiden, ob der Patient doch in die Praxis kommen muss“. So ließen sich von einer Milliarde Arzt-Patient-Kontakten „bis zu einem Drittel“ einsparen, glaubt er.

Das passt. Wie mehrfach berichtet, läuft Lauterbachs zuletzt beschlossene große Krankenhausreform auf einen radikalen  hinaus. Auch dem soll die forcierte Digitalisierung der Medizin und damit verbunden die ePA Vorschub leisten, indem etwa die Notfallambulanzen „entlastet“ werden. Dass diese nicht selten vorschnell und zu Unrecht aufgesucht werden, ist ein offenkundiger Missstand. Allerdings wird im Zuge der Klinikreform die Lage der Notaufnahmen nicht verbessert. Vielmehr werden diese in großem Stil abgebaut, genauso wie . In besagtem Interview mit web.de entblößt der SPD-Politiker an einer Stelle sehr eindrücklich sein arg verkürztes Medizinverständnis. Nichts würde die „Kosten und die Qualität unseres Gesundheitssystems mehr beeinflussen als funktionierende Vorsorge“, stellte er sehr zutreffend fest. Aber dann sein Beispiel: „Die Hälfte der Menschen mit Bluthochdruck in Deutschland wird nach wie vor nicht medikamentös behandelt.“ Maßnahmen zur Gesunderhaltung in jüngeren Jahren, mehr Bewegung, Sport und besseres Essen kommen Lauterbach gar nicht erst in den Sinn.

Schrumpelbananensoftware

Am heutigen Mittwoch geht die „ePA für alle“ in die Pilotphase. In zunächst drei Modellregionen in Nordrhein-Westfalen, Franken (Bayern) und Hamburg und mit rund 270 Leistungserbringern wird das System auf Tauglichkeit in der Praxis geprüft. Kritiker haben für die Unternehmung den Begriff „tiefgrüne Schrumpelbananensoftware“ kreiert. Diese solle nach dem Geschmack der Verantwortlichen quasi erst im laufenden Betrieb allmählich reifen – trotz aller Gefahren und Unwägbarkeiten. Der bundesweite Rollout starte erst, „wenn der massenhafte Datenmissbrauch technisch ausgeschlossen ist“, beteuert dagegen Lauterbach. „Das sichere ich zu.“ Zugleich will er aber den dafür avisierten Termin, 15. Februar, nicht infrage stellen, gewiss auch aus Sorge, der nahende Regierungswechsel könnte ihm und seinen Auftraggebern einen Strich durch die Rechnung machen.

Unterstützung gibt es dafür selbstredend durch die frühere Chefethikerin und Trägerin des Bundesverdienstkreuzes Buyx. „Sinnvoll ist, das Projekt jetzt auf die Straße zu bringen und gleichzeitig noch weitere Sicherungsstrukturen aufzubauen, wenn sich diese als nötig erweisen“ – sprich: wenn das Kind in den Brunnen gefallen ist … In Großbritannien zum Beispiel sind im vergangenen Jahr  von Patienten in großem Stil im Darknet aufgetaucht. In den USA sind vor knapp einem Jahr die  – Versicherungsinformationen, medizinische Dokumente, Zahlungsdaten sowie Sozialversicherungsnummern – in die Hände von Hackern gefallen. Die Angreifer nutzten eine ������������𾱳ٲ���ü����� bei Change Healthcare, dem größten Bezahldienstleister im Gesundheitswesen.

Aber in Deutschland hat man alles im Griff und will ein Big-Pharma-affiner Gesundheitsminister ein riesiges Sicherheitsloch in nur einem Monat stopfen. Besser nicht darauf verlassen. Noch kann man der ePA widersprechen, auch nachträglich. Bei  steht geschrieben, wie das geht.

Gefunden auf  

Ab 11. Februar 2025 will Microsoft zusammen mit Sicherheitsupdates für Windows 10 auch das neue Outlook verteilen – verhindern kann man das nicht. Sie können das Mail-Programm aber nachträglich entfernen.

Microsoft stellt Millionen Systeme auf  um. Windows-11-Nutzer sind  ausgestattet worden und für große Begeisterung bei den Nutzern hat das nicht gerade gesorgt.

Die Hauptkritik: Der neue Mailer kann nicht besonders viel und ist eher . Wie Microsoft , wird das neue Outlook in Kürze auch auf Windows 10 verteilt. Stichtag ist der 11. Februar 2025. Betroffen davon sind Millionen PCs weltweit.

Im Zuge des im Herbst  gibt es frische Zahlen zur Verbreitung von Windows 10 in Deutschland. Noch sollen hierzulande rund 32 Millionen PCs mit dem Betriebssystem laufen.

Blockieren lässt sich das neue Outlook nicht, denn Microsoft liefert es mit dem monatlichen Sicherheitsupdates aus. Es ist nicht ratsam, diese Updates zu ignorieren und es würde auch gar nichts bringen. Denn spätestens, wenn Sie mal wieder Sicherheitsupdates einspielen, wird dann auch das neue Outlook kommen.

Sie müssen anders vorgehen, wenn Sie das neue Outlook nicht wollen.

Spielen Sie im Februar die angebotenen Sicherheitsupdates für Windows 10 ein. Damit installieren Sie auch das neue Outlook, was Sie einfach mal geschehen lassen müssen. Jetzt sind zwei Schritte erforderlich, um den Mailer wieder loszuwerden und eine zukünftige Installation zu blockieren:

• Tippen Sie in PowerShell den Befehl Remove-AppxProvisionedPackage -AllUsers -Online -PackageName (Get-AppxPackage Microsoft.OutlookForWindows).PackageFullName ein. Damit entfernen Sie das neue Outlook.

• Jetzt müssen Windows-10-Nutzer noch in der Registry den Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\ und weiter Orchestrator\UScheduler_Oobe\OutlookUpdate ansteuern. Legen Sie dort eine neue Zeichenfolge namens BlockedOobeUpdaters an. Per Doppelklick setzen Sie den Wert auf MS_Outlook. Schließen Sie die Aktion mit einem Windows-Neustart ab.

Gefunden auf  

Ein Mitarbeiter des RHRZ teilte soeben mit:

"Habe eben einen Anruf erhalten (privat) mit einer Bandansage, angeblich von Paypal. Es würde eine Zahlung ausstehen mit Betrag x. Man wird aufgefordert Tasten zu drücken um zu verhindern/erlauben. Dahinter versteckt sich eine Betrugsmasche:

Da man Freunde, Verwandte, Bekannte, etc. warnen soll, bitte wachsam sein und die Info weitergeben."

�ұ𲵱�Գ���ß�Բ��󳾱��:

• Beenden Sie den Anruf.

• Ignorieren Sie die Aufforderung, eine Taste zu drücken.

• Teilen Sie keinesfalls persönliche Daten mit! Jede Information kann den Verursachern bei künftigen Missbräuchen helfen!

Forscher knacken Microsofts Multi-Faktor-Authentifizierung

Durch parallele Sitzungen konnte das Forscherteam  Fehleingaben tätigen. Oftmals gelang der Zugriff innerhalb von nur einer Stunde.

Sicherheitsforscher von Oasis Security haben einen Weg gefunden, die Multi-Faktor-Authentifizierung (MFA), die Microsoft für den Zugang zu Diensten wie Outlook, Onedrive, Teams oder die Azure Cloud implementiert hat, mit vergleichsweise geringem Zeitaufwand und ohne jegliche Nutzerinteraktion zu umgehen. Wie die Forscher  erklären, führten sie dafür einen Brute-Force-Angriff auf die 6-stelligen MFA-Codes aus, die bei der Anmeldung abgefragt werden.

Die besagten -Codes (Time-based One-time Password) werden jeweils nach der Eingabe einer gültigen E-Mail-Adresse und des zugehörigen Nutzerpasswortes als zusätzlicher Authentifizierungsfaktor angefordert. Anwender erhalten diese Codes aus den jeweiligen Authenticator-Apps, die sie mit dem Anmeldedienst von Microsoft verknüpft haben.

Die Codes werden regelmäßig neu generiert, gemäß  empfohlen sind Schritte von 30 Sekunden. In der Regel werden frühere TOTP-Codes aber nicht unmittelbar nach dem Wechsel ungültig, sondern noch etwas länger akzeptiert, um mögliche Zeitverschiebungen und Verzögerungen auszugleichen. Bei Microsoft lag die gesamte Gültigkeitsdauer der einzelnen Codes den Forschern zufolge bei drei Minuten.

Anfrageflut mit parallelen Sitzungen

Je Sitzung sind bis zu 10 Fehleingaben zulässig, erklärt das Forscherteam. Diese Begrenzung ließ sich jedoch durch die Erstellung mehrerer paralleler Sitzungen umgehen, so dass viele Eingabeversuche gleichzeitig durchführbar waren. "Während dieses Zeitraums erhielten die Kontobesitzer keine Warnung über die große Zahl der fehlgeschlagenen Versuche, was diese Schwachstelle und Angriffstechnik gefährlich unauffällig macht", heißt es im Bericht.

Bei den 6-stelligen numerischen Codes gibt es maximal eine Million Kombinationsmöglichkeiten. Die Forscher ermittelten für ihre Methodik eine Wahrscheinlichkeit von drei Prozent, einen MFA-Code innerhalb seines Gültigkeitszeitraumes zu erraten. Mit 24 solchen Angriffen hintereinander (Dauer: etwa 70 Minuten) steigt die Wahrscheinlichkeit den Angaben nach bereits auf über 50 Prozent.

Das Forscherteam gibt an, den Angriff mehrmals erfolgreich durchgeführt zu haben. Häufig soll der Zugriff innerhalb von nur einer Stunde gelungen sein. Ihre Beobachtungen meldeten die Forscher an Microsoft. Im Juli gab es dem Bericht zufolge zunächst einen temporären Fix, seit Oktober eine dauerhafte Lösung. Laut Oasis Security führte Microsoft ein "viel strengeres Ratenlimit" ein, weitere Details dazu werden allerdings nicht genannt. 

Gefunden auf

Ab dem 6. Januar stellt Microsoft Business-Kunden automatisch vom klassischen aufs neue Outlook um. Das dürfte für Probleme sorgen.

Microsoft hat im Microsoft-365-Admincenter angekündigt, ab dem 6. Januar 2025 automatisch bei Kunden mit Microsoft 365 Business -und Premium-Lizenzen das klassische Outlook auf das neue Outlook umzustellen.

Im  (Log-in mit passenden Zugriffsrechten erforderlich) schreibt das Unternehmen, dass ab dem 6. Januar in den folgenden Monaten User mit Microsoft-365-Business-Standard- und -Premium-Lizenzen vom klassischen Outlook auf das neue Outlook umgestellt werden. Die Nutzerinnen und Nutzer werden einmal umgestellt bei diesem Rollout, allerdings mit der Option, dass die Umstellung später erneut angestoßen wird. Betroffene sollen jedoch die Möglichkeit haben, wieder zurück zum klassischen Outlook zu wechseln.

Wohliges Marketing soll den Schritt schmackhaft machen

"Unser Ziel mit dieser Änderung ist es, Nutzerinnen und Nutzern die Möglichkeit zum Ausprobieren des neuen Outlooks zu geben, was Millionen bereits getan haben", preist Microsoft das Vorhaben an. "New Outlook liefert Nutzern die modernste Erfahrung mit Copilot-Funktionen, Themes und einer Menge an zeitsparenden Funktionen wie Pinning und Snoozing von Mails".

Nutzerinnen und Nutzer erhalten demnach eine Benachrichtigung in der App vor der Umstellung und erhalten die Möglichkeit, sie in den "Optionen" – "Allgemein" abzuschalten. Wer schon umgestellt wurde, kann ebenfalls wählen, wieder zurückzuwechseln. Sofern der New-Outlook-Schalter mittels Richtlinien versteckt wurde oder eine unbefristete Lizenz vorliegt, findet die Umstellung nicht statt. In der Richtlinie "Admin-Controlled Migration to New Outlook" können Admins die Umstellung der Nutzer beeinflussen. Sie ist standardmäßig nicht gesetzt, wodurch Nutzer selbst kontrollieren können, ob der Switch aufs neue Outlook erfolgt. Der Wert "1" hingegen setzt durch, dass die Migration erlaubt ist und Nutzer nicht eingreifen können, der Wert "0" hingegen verhindert die automatische Migration und Nutzer können das ebenfalls nicht ändern.

Durch das Setzen des Registry-Schlüssels NewOutlookMigrationUserSetting als dword:00000001 oder 00000000 unter dem Zweig HKEY_CURRENT_USER\Software\Policies\Microsoft\office\16.0\outlook\preferences sollen das auch lokal umsetzbar sein. Später soll die Richtlinie auch als ein Gruppenrichtlinien-Objekt (GPO), als Cloud-Richtlinie und über Intune verfügbar sein.

Admins müssen aktiv werden

IT-Verantwortliche mit den aufgeführten Lizenzen müssen also aktiv werden. Die Umstellung dürfte im Zweifel für vermehrte Nutzeranfragen sorgen, und auch "echte" Probleme stehen zu erwarten. Zum einen wäre da die fehlende Unterstützung für POP3 oder viel bedeutender, Exchange in der On-Premises-Version. Wer einen lokalen Exchange-Server nutzt, kann keine Mails mehr bearbeiten. Ein  zeigt weitere fehlende Funktionen an, wie freigegebene Postfächer als Konten.

Zum anderen dürfte auch schwer wiegen, dass das neue Outlook Zugangsdaten etwa zu IMAP-Konten an Microsofts Server überträgt, die dann die Mails von den Zugängen auf die Microsoft Cloud kopieren. Die angepriesenen Funktionen laufen nämlich serverseitig und nicht lokal. .pst-Dateien werden bislang ebenfalls nicht unterstützt. Das könnte für manche Organisationen auch ein Datenschutzproblem sein.

Das neue Outlook sorgt seit Längerem für Unmut. Microsoft versucht immer wieder, Nutzer für die Software zu gewinnen. Etwa in den Windows-Clients im Home- und Pro-Lizenzbereich ersetzt es inzwischen die zuvor beliebten Apps Windows Mail, Kalender und Kontakte. Vielen ist jedoch nicht klar, dass das neue Outlook im Wesentlichen eine Web-App darstellt, die auf serverseitige Funktionen von Microsoft zugreift und zu diesem Zweck die Mails der Nutzer über Microsoft-Server abruft.

Gefunden unter

Lesen Sie auch  

Immer mehr Behörden wollen in die Microsoft-Cloud, schlägt die Gesellschaft für Informatik Alarm. Deutschland drohe, "im goldenen Microsoft-Käfig" zu landen.

Mit der Vorliebe mancher Länder und der Bundesregierung für Cloud-Dienste von Microsoft "wandern auch zunehmend sensible Bürgerdaten in die Obhut des Tech-Konzerns", warnen der Präsidiumsarbeitskreis Digitale Souveränität sowie die Arbeitsgruppe Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI). Sie sehen darin "unvertretbare Risiken für die digitale Unabhängigkeit Deutschlands" sowie den Schutz der Daten von Bürgern und Unternehmen: "Die besorgniserregende Abhängigkeit von Microsoft wird nicht nur zementiert, sondern weiter ausgebaut."

Ein Auslöser der : Laut  inklusive Bayern, Niedersachsen, Nordrhein-Westfalen das Videokonferenzsystem Teams oder das komplette Cloud-Office-Paket Microsoft 365 in ihrer Verwaltung einführen. Jüngst setzte sich Bundeskanzler Olaf Scholz (SPD) zudem für das  ein, das allerdings mit mehr "Souveränität" wirbt als reine US-Lösungen. Derlei Bestrebungen lassen die GI befürchten, dass "Deutschland demnächst im goldenen Microsoft-Käfig" gefangen sein könnte.

MI6-Chef spricht von "Datenfalle"

Die GI zitiert ein Interview des britischen Geheimdienstchefs Richard Moore vom MI6 aus dem Jahr 2021. Der Spionageexperte sprach von einer "Datenfalle": "Wenn Sie einem anderen Land erlauben, Zugang zu wirklich kritischen Daten über Ihre Gesellschaft zu erhalten, wird das mit der Zeit Ihre Souveränität aushöhlen." Übertragen auf Deutschland schließt sich die Datenfalle den Informatikern zufolge, wenn die Planungen einiger Bundesländer zur Migration in die Microsoft-Cloud verwirklicht würden.

Das habe mit dem  zu tun, erläutern die Autoren. Er ermächtige US-Behörden, "ganz legitim auch auf Daten zuzugreifen, die in Rechenzentren von US-Dienstleistern außerhalb der USA gehalten werden". Dabei seien die Anbieter zum Stillschweigen verpflichtet. Wirtschaftsprüfer verwiesen 2019 . Digitale Monopole könnten ihre Preise brutal erhöhen, heißt es weiter. In der Verwaltung sei hier eine weitere Explosion zu erwarten. Dabei habe die Bundesregierung . Ein großer Batzen davon fließt an Microsoft.

Zweifel an Sicherheit und Rechtskonformität

Pessimistisch stimmen die GI . Zudem gebe es Zweifel an der Rechtskonformität der Vergabe von Aufträgen dieser Größenordnung ohne vorherige EU-weite Ausschreibung. Alternative Lösungen seien hinreichend bekannt, die aus Gründen des Datenschutzes, der IT-Security und der Kosten vorzuziehen wären. Schleswig-Holstein . "Die Zukunft Deutschlands darf nicht von der Willkür ausländischer Großkonzerne abhängen", betonen die Informatiker. Es sei entscheidend, "dass wir unsere digitale Zukunft selbstständig, selbstbestimmt und sicher gestalten können". Die Bundesregierung müsse  endlich umsetzen. Auch die Länder hätten hier eine besondere Verantwortung.

Gefunden auf  

Hierbei wird der Nutzer per E-Mail aufgefordert, um eine verschlüsselte Datei, welche wiederrum in OneDrive liegt, öffnen zu können, sein Passwort einzugeben - siehe Bild.

BITTE GEBEN SIE NICHT IHR PASSWORT EIN!

Bitte warnen Sie auch ihre Kolleginnen und Kollegen vor dieser Phishing-Welle.

Melden können Sie derlei Phishing E-Mails als Anhang an antivirus@rptu.de.

Die Vorschau auf die Windows-11-Updates führt auf einigen Systemen zu Bluescreens oder Reboot-Schleifen.

Wer die Vorschauversion der Windows-Updates für Windows 11 aus der vergangenen Woche mit dem KB-Eintrag KB5043145 installiert hat, könnte daraufhin Probleme mit dem System bekommen. Reboot-Schleifen, Blue- oder Green-Screens können dadurch auftreten.

In den  darauf hin, dass dem Unternehmen Berichte über Probleme mit den Update-Vorschauen vorliegen. "Microsoft hat einige Kundenberichte darüber erhalten, dass Geräte mehrere Male neu starteten oder nicht mehr reagierten und einen Blue- oder Green-Screen anzeigten, nachdem versucht wurde, die nicht sicherheitsrelevanten September-2024-Windows-Updates zu installieren", schreiben die Entwickler dort.

Mehrere Berichte von Betroffenen

Die Betroffenen berichteten demnach davon, dass einige Geräte selbsttätig das Automatische-Reparatur-Werkzeug nach wiederholten Neustartversuchen öffneten. Das Werkzeug versucht, übliche Probleme aufzuspüren und zu lösen, die das Gerät am sauberen Start hindern. In einigen Fällen könne auch die Bitlocker-Wiederherstellung ausgelöst werden.

Da Microsoft die Probleme noch untersucht, bitten die Entwickler um Rückmeldungen über den Feedback-Hub, um einen Bericht und mehr Details einzureichen, das helfe bei der Analyse. Der Feedback-Hub lässt sich über eine  erreichen.

Betroffen sind Windows 11 22H2 und 23H2, für die die Update-Vorschau verfügbar ist. Microsoft untersucht das Problem derzeit und verspricht eine Aktualisierung, sofern mehr Informationen verfügbar werden.

Am vergangenen Freitag wurde die Vorschau auf die nicht sicherheitsrelevanten Änderungen der kommenden Windows-11-Updates veröffentlicht. Sie brachten nicht allzu viele Verbesserungen mit. Als eines der Höhepunkte stellte Microsoft heraus, dass sich etwa bei der Suche aus der Taskbar heraus lokale Dateien direkt teilen lassen sollen.

Gefunden auf  

• Neue Masche von Cyberkriminellen: Gefälschte QR-Codes
• Seinen Sie vorsichtig bei Codes per Briefpost, Ladesäulen für E-Autos und auf „gefälschten“ Strafzetteln
• Scannen Sie einen QR-Code nur dann, wenn Sie sich sicher sind, dass er echt ist

QR-Code: Was ist das eigentlich?

QR ist die Abkürzung für Quick Response, also "schnelle Antwort". Komplexe Informationen werden so verkürzt dargestellt, sodass Nutzerinnen und Nutzer sie rasch abrufen können. Nach demselben Prinzip funktionieren Barcodes oder Strichcodes.

Quishing ist eine Betrugsmasche, bei der Kriminelle QR-Codes manipulieren, um an sensible Daten wie Kreditkarteninformationen zu gelangen.

Gefälschte Briefe von Banken

Aufforderungen zur Zahlung als Betrugsversuche per E-Mail sind nicht neu – wenn auch selten mit QR-Code. Seit neustem versenden Kriminelle ihren Text mit einem QR-Code ausgedruckt und verschicken ihn per Post. 

Seinen Sie vorsichtig, wenn Sie Briefe von Banken erhalten. Bei den gefälschten Schreiben werden Sie oft mit "Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber" angesprochen, nicht aber mit ihrem richtigen Namen. 

Mehr Informationen über die Betrugsmasche lesen Sie auf der .

Flasche QR-Codes an E-Auto Ladesäulen

Betrüger überkleben die echten QR-Codes mit gefälschten, die auf täuschend echte Webseiten führen. Fahrerinnen und Fahrer von Elektroautos, die ihren Ladevorgang per QR-Code an der Ladesäule bezahlen wollen, geben unwissentlich ihre Kontodaten preis.

Der  unter anderem, keinen überklebten QR-Code zu scannen. Hat die Ladesäule ein Display, scannen Sie den Code dort. Meist können Ladesäulen auch mit einer App oder Ladekarte anderer Anbieter genutzt werden. Dabei müssen Sie keinen vorhandenen QR-Code einscannen.

Gefälschte Strafzettel am Auto

Ordnungsämter von einigen Gemeinden oder Städten bieten Autofahrerinnen und Autofahren an, ihre Strafzettel direkt zu bezahlen. Das erfolgt über einen QR-Code. Auch hier nutzen Kriminelle diese Methode aus, indem sie gefälschte Strafzettel mit falschen QR-Codes unter den Scheibenwischern der Autos befestigen. Prüfen Sie den Strafzettel ganz genau. Sind Sie unsicher, ob er echt ist? Dann klären Sie das mit der Polizei.

Schutz vor Quishing

• Aufmerksam sein: Scannen Sie den QR-Code nicht ungeprüft, wenn Sie Zahlungsdaten eingeben sollen. Prüfen Sie unbedingt die Internetadresse, ob es sich etwas um die Adresse Ihrer Hausbank handelt.
• Inhalte nicht automatisch öffnen: Schalten Sie, wenn möglich, die Funktion für ein sofortiges Öffnen eines gelesenen QR-Codes ab. Manche QR-Code-Scanner zeigen zunächst den Link an: Liegt die Quelle im Ausland, kann das ein Indiz auf einen schadhaften QR-Code sein (beispielsweise ".ru"). Auch bei Shortlinks ist Vorsicht geboten, da das eigentliche Ziel des Links nicht angezeigt wird.
• Bank kontaktieren: Haben Sie Zweifel, dass der Brief und QR-Code darauf echt sind? Nutzen Sie nicht die auf dem Brief angegebenen Kontaktmöglichkeiten, sondern recherchieren Sie diese selbst.
• Allgemeine Formulierungen: Seien Sie vorsichtig, wenn in einem Brief eine allgemeine Anrede ("Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber") verwendet wird.
• QR-Code überklebt: Ist der QR-Code an einer Ladesäule möglicherweise überklebt, scannen Sie ihn nicht. Verfügt zum Beispiel eine Ladesäule über ein Display, sollte der Code von dort gescannt werden.

Gefunden auf  

In der Teamviewer-Fernwartungssoftware klaffen hochriskante ������������𾱳ٲ���ü�����n, durch die Angreifer ihre Rechte im System ausweiten können. Der Hersteller hat am Dienstag dieser Woche aktualisierte Software veröffentlicht, die die Sicherheitslecks stopft.

In einem  die Schwachstellen. In den Teamviewer-Remote-Clients können Angreifer eine unzureichende kryptografische Prüfung von Treiberinstallationen missbrauchen, um ihre Rechte auszuweiten und Treiber zu installieren (CVE-2024-7479, CVE-2024-7481; beide CVSS 8.8, Risiko "hoch").

Teamviewer Remote Full Client und Teamviewer Remote Host betroffen

Die ������������𾱳ٲ���ü�����n betreffen die Komponente TeamViewer_service.exe sowohl in Teamviewer Remote Host als auch in Teamviewer Remote Full Client, jeweils für Windows. Die seit Dienstag dieser Woche  oder neuere schließen diese ������������𾱳ٲ���ü�����n.

Betroffen sind der TeamViewer Remote Full Client und Teamviewer Remote Host für Windows in Versionen vor 15.58.4, 14.7.48796, 13.2.36225, 12.0.259312 sowie 11.0.259311. Die fehlerbereinigten Software-Versionen stehen auf der  bereit. Wer Teamviewer einsetzt, sollte die Aktualisierung zeitnah vornehmen.

Temporäre Gegenmaßnahmen nennt Teamviewer nicht. Ob sie bereits in freier Wildbahn missbraucht wird, bleibt ebenfalls unklar. Sie wurde jedoch von Trend Micros Zero-Day-Initiative im Rahmen einer Responsible Disclosure gemeldet. Wie man gegebenenfalls einen erfolgreichen Angriff erkennen kann, erörtert Teamviewer nicht.

Ende Juni dieses Jahres konnten mutmaßlich russische Angreifer auf die interne IT-Umgebung von Teamviewer zugreifen. Die Software selbst sei nicht beeinträchtigt worden, sagte ein Sprecher Anfang Juli zur Veröffentlichung von Untersuchungsergebnissen zu dem Vorfall. Teamviewer hatte sich Expertise von Microsoft dazugeholt, um den Einbruch zu untersuchen und angemessen darauf zu reagieren.

Gefunden auf  

Anhand spezieller -Pakete können Angreifer auf -Systemen aus der Ferne  ausführen. Ein Exploit-Code dafür ist jetzt öffentlich verfügbar.

Am 13. August stellte Microsoft , die es Angreifern ermöglicht, durch speziell gestaltete IPv6-Pakete aus der Ferne und ohne jegliche Nutzerinteraktion Schadcode auf diversen Windows-Systemen auszuführen. Für eben jene Schwachstelle hat ein unter dem Pseudonym Ynwarcs bekannter Sicherheitsforscher nun  (Proof of Concept) veröffentlicht.

Entdecker der als  registrierten und mit einem CVSS von 9,8 als kritisch eingestuften ������������𾱳ٲ���ü����� ist ein dem chinesischen Unternehmen Cyber Kunlun zugehöriger Forscher namens Wei. Dieser erklärte , er werde angesichts der davon ausgehenden Gefahr vorerst keine Details zu der Schwachstelle veröffentlichen.

PoC-Veröffentlichung war abzusehen

Microsoft selbst bescheinigt CVE-2024-38063 eine geringe Angriffskomplexität und hält eine zukünftige Ausnutzung der ������������𾱳ٲ���ü����� für wahrscheinlich. Es war also ohnehin nur eine Frage der Zeit, bis jemand anderes als Wei einen Weg finden würde, die Lücke auszunutzen. Nachdem Ynwarcs dies gelang und der zugehörige Exploit-Code nun öffentlich zur Verfügung steht, dürften auch Cyberangriffe auf Basis der Schwachstelle nicht mehr lange auf sich warten lassen.

Wer sich vor entsprechenden Attacken schützen will, sollte seine Windows-Systeme umgehend aktualisieren, sofern noch nicht geschehen. Patches stehen nicht nur für die Desktop-Betriebssysteme Windows 10 und Windows 11 bereit, sondern auch für Windows Server 2008 (R2), 2012, 2016, 2019 und 2022.

F

ür den Fall, dass die August-Updates beispielsweise aufgrund  noch nicht eingespielt werden können, empfiehlt Microsoft, IPv6 nach Möglichkeit vorerst zu deaktivieren, um das Risiko eines erfolgreichen Angriffs einzudämmen.

Kleine Änderung mit großer Wirkung

Ynwarcs verweist in seinem Github-Repository zu CVE-2024-38063 auf eine , in der weitere Details zu der ������������𾱳ٲ���ü����� zu finden sind. Herausgearbeitet hat er diese anhand von Anpassungen, die Microsoft in der Treiberdatei tcpip.sys vorgenommen hatte, um die Lücke zu patchen. Dabei gab es lediglich geringfügige Änderungen in einer einzigen Funktion.

Hutchins selbst veröffentlichte keinen PoC, da sich eine zuverlässige Ausnutzung des Fehlers für ihn "als extrem schwierig erwiesen" hat. Laut Ynwarcs muss das Zielsystem dafür dazu gebracht werden, empfangene Pakete zu einem gewissen Grad zu bündeln. "Einige Adapter- und Treiberpaare tun dies sehr gerne, während andere eher zögerlich zu sein scheinen", erklärt der Forscher auf Github. 

Gefunden unter

Ergänzende Infos unter  

Angreifer können an mehreren Schwachstellen in Chrome ansetzen, um PCs zu kompromittieren.

Googles Webbrowser Chrome ist in einer gegen mögliche Attacken abgesicherten Version erschienen. Nutzer sollten sicherstellen, dass die aktuelle Ausgabe installiert ist.

Die Bedrohungen

, dass die Entwickler unter anderem eine "kritische" ������������𾱳ٲ���ü����� (CVE-2024-6990) geschlossen haben. Sie betrifft die Dawn-Komponente, die via WebGPU Berechnungen auf Grafikkarten erledigen kann.

Wie Angreifer an der Schwachstelle ansetzen können und was das Ergebnis von erfolgreichen Attacken ist, geht aus der Warnmeldung nicht hervor. Bei einer kritischen Einstufung ist aber davon auszugehen, dass Angreifer eigene Befehle oder sogar Schadcode ausführen können.

Die verbleibenden ������������𾱳ٲ���ü�����n (CVE-2024-7255, CVE-2024-7256) sind mit dem Bedrohungsgrad "hoch" eingestuft. Hier kann unter anderem Schadcode auf Systeme gelangen.

Jetzt patchen!

Die Entwickler geben an, die Lücken in Chrome 127.0.6533.88/89 für macOS und Windows und 127.0.6533.88 für Linux geschlossen zu haben. , die in der aktuellen Version selbstverständlich auch nicht mehr vorhanden sind.

In der Regel installieren sich Updates etwa unter macOS und Windows automatisch. Über die drei übereinander angeordneten Punkte oben rechts im Fenster können Sie unter Hilfe/Über Google Chrome die installierte Version prüfen und ein manuelles Update auslösen.

In mit Passwort geschützte Archive schauen

. Doch für noch tiefgreifendere Untersuchungen müssen Nutzer Daten teilen. Chrome kann sogar in Archive schauen, die mit einem Kennwort geschützt sind.

Sicherheitsforscher warnen vor laufenden Attacken auf Systeme mit ESXi-Hypervisor. Darüber gelangen Erpressungstrojaner auf Computer.

Derzeit haben Angreifer Server mit dem VMware-Hypervisor ESXi im Visier. Sind Attacken erfolgreich, stufen sie sich zum Admin hoch und installieren Ransomware. Sicherheitsupdates sind verfügbar.

Admin-������������𾱳ٲ���ü�����

. In welchem Umfang die Angriffe ablaufen, führen sie aber nicht konkret aus. Daran sind aber mehrere Ransomwaregruppen wie Octo Tempet und Storm-0506 beteiligt, die Trojaner wie Akira und Black Basta installieren. Diese verschlüsseln Daten und fordern Lösegeld ein.

Die ausgenutzte ������������𾱳ٲ���ü����� (CVE-2024-37085 "mittel") betrifft VMware ESXi. , das Sicherheitsproblem in der Version ESXi80U3-24022510 gelöst zu haben. Als Voraussetzung für eine Attacke müssen Angreifer Zugriff auf das Active Directory mit einem ESXi-Host haben. Ist das gegeben, können sie ohne weitere Authentifizierung an der Lücke ansetzen und sich zum Admin machen.

Die Attacke

Microsoft gibt an, drei Angriffsmuster dokumentiert zu haben. Da aufgrund der Schwachstelle die ESXi-Authentifizierung umgehbar ist, erstellen Angreifer derzeit die Gruppe "ESX Admins" und stufen sich darin zum Admin hoch. Das gelingt über folgende Befehle:

net group “ESX Admins” /domain /add

net group “ESX Admins” username /domain /add

Alternativ können Angreifer eine bestehende Gruppe in "ESX Admins" umbenennen. Wenn Admins einer Gruppe Rechte entziehen, werden diese Rechte nicht sofort entfernt und Angreifer können sie weiterhin missbrauchen. Diese Methode hat Microsoft aber eigenen Angaben zufolge bisher nicht beobachtet.

Schutz vor Angriffen

Um sich vor Attacken zu schützen, müssen Admins das Sicherheitsupdate zügig installieren. Außerdem sollten sie Zugriffe so weit es geht einschränken, sodass nur ausgewählte Nutzer Zugang haben. Zudem sollte neben starken Passwörtern auch eine Multi-Faktor-Authentifizierung (MFA) zum Einsatz kommen. Überdies sollten Admins jederzeit die Logs im Auge behalten, um schnell reagieren zu können.

Gefunden unter  

Lange bekannte Schwachstellen können dem RADIUS-Protokoll zum Verhängnis werden, das vor allem im Enterprise-Umfeld in sehr vielen Netzwerken eingesetzt wird.

Sicherheitsforscher an zwei Universitäten in den USA und bei Microsoft haben eine ������������𾱳ٲ���ü����� im Netzwerk-Authentifizierungs-Protokoll RADIUS veröffentlicht (CVE-2024-3596), die es einem Angreifer ermöglicht, sich in einem Netzwerk mit beliebigen Privilegien anzumelden, ohne das dafür nötige Passwort zu kennen. Dafür muss sich der Angreifer als Man-in-the-Middle (MITM) zwischen lokalem und zentralem Server der RADIUS-Installation einklinken, diese darf ihre Authentifizierung nicht über das Extensible Authentication Protocol (EAP) abwickeln. Die Forscher tauften die neue ������������𾱳ٲ���ü����� auf den Namen Blast-RADIUS.

Bisher ist der Angriff eher theoretischer Natur, da die Forscher es nicht schafften, ihn in der Zeit auszuführen, die eine typische RADIUS-Installation für einen derartigen Angriff einräumt. Das könnte sich allerdings schnell ändern, falls ein entschlossener Angreifer entsprechende Hardware-Ressourcen darauf ansetzt, die nötigen Berechnungen zu beschleunigen. Um es etwaigen Angreifern nicht allzu leicht zu machen, halten die Forscher ihren konkreten Angriffscode bisher geheim.

Das RADIUS-Protokoll wird vor allem im Firmenumfeld eingesetzt, um Geräte in großen Netzwerken zu verwalten – unter anderem für LAN- und WLAN-Anmeldungen von Computern und Mobilgeräten, um VPN-Zugänge zu verwalten und um den Zugang zu sicherheitskritischer Netzwerkinfrastruktur zu beschränken. Internet Service Provider nutzen RADIUS, um die Logins von DSL-, Glasfaser- und Mobilfunkanschlüssen durchzuführen. Auch wird das Protokoll bei Eduroam und OpenRoaming eingesetzt, um Nutzern dynamisch Zugang zu WLAN-Netzen zu ermöglichen. So können Studenten und Universitätsmitarbeiter mit Eduroam-Zugängen etwa ihre Geräte in tausenden von Universitäten auf der ganzen Welt mit ihren heimischen Zugangsdaten ins WLAN einloggen. Glücklicherweise betrifft die Blast-RADIUS-Schwachstelle das Eduroam-Netz nicht, da dieses bereits seit langem Sicherheitsvorkehrungen vorschreibt, die der aktuellen Schwachstelle den Wind aus den Segeln nehmen.

Aufbau des RADIUS-Protokolls

Eine Radius-Installation besteht in der Regel aus einem lokalen Server, der (meist über das Internet) mit einem zentralen Server kommuniziert, der alle in der Installation bekannten Benutzerkonten verwaltet. Der Server im lokalen Netz wird im Kontext des RADIUS-Protokolls als Client oder Network Access Sever (NAS) bezeichnet. Um sich in einem bestimmten Netz anzumelden, sendet das Netzwerkgerät, das sich einloggen will, eine Anfrage mit seinem Nutzernamen und Passwort an den Client. Dieser schickt diese Daten dann in einem sogenannten Access Request weiter an den Server.

Der Server überprüft Nutzername und Passwort und schickt dann entweder eine Access-Accept-Nachricht an den Client zurück oder, wenn die Daten nicht stimmen oder dem Nutzer der Zugang zu der Infrastruktur entzogen wurde, eine Access-Reject-Nachricht. Daraufhin lässt der Client das Gerät dann dem Netzwerk beitreten oder nicht, je nachdem ob ein Accept oder Reject empfangen wurde. Zusätzlich zum Zugang zum Netzwerk wird in diesem Verfahren dem Client vom Server auch noch übermittelt, welche Privilegien das jeweilige Gerät hat – das heißt, auf welche Ressourcen im Netzwerk es wie zugreifen darf.

Für die Authentifizierung zwischen Client und Server können verschiedene Protokolle zum Einsatz kommen. Bei einigen von ihnen kommt der veraltete Hashing-Algorithmus MD5 ohne Schutzmaßnahmen gegen Hash-Kollisionen zum Einsatz. Die von den Forschern an der Boston University, der UC San Diego und bei Microsoft Research entdeckte Lücke macht sich seit langer Zeit bekannte Schwachstellen im MD5-Algorithmus zunutze, um in diese Kommunikation einzugreifen und sie zu manipulieren.

Wie der Blast-RADIUS-Angriff funktioniert

Um den Angriff durchzuführen, muss sich der Angreifer in eine Man-in-the-Middle-Position zwischen RADIUS-Client und RADIUS-Server begeben. Dazu muss er erst einmal die etwaige Verschlüsselung brechen, die den Datenverkehr zwischen diesen beiden Stellen stützt. Dann begibt er sich mit einem weiteren Gerät in das Netz der anzugreifenden RADIUS-Installation und schickt dem dortigen Client eine Login-Anfrage mit einem beliebigen Passwort. Wenn der Client mit dem Server kommuniziert, um diese Anfrage zu prüfen, fängt das System des Angreifers in der MITM-Position diese Anfrage ab.

Dann errechnet der Angreifer eine Hash-Kollision unter Verwendung . Die Forscher haben dafür . Der errechnete Hash erlaubt es dem Angreifer, statt der Access-Reject-Nachricht, die der Server eigentlich an den Client schickt, eine passende Access-Accept-Nachricht zu fälschen. Das MITM-System löscht die Reject-Nachricht und schickt dem Client stattdessen die Accept-Nachricht. Dank des gültigen Hashes denkt der Client jetzt, der Server hätte die Anmeldung durchgewunken. Er lässt das Netzwerkgerät des Angreifers ins lokale Netz. Der Angreifer kann dank dieses Tricks das Gerät nicht nur anmelden, sondern ihm auch beliebige Rechte im Netz zuteilen – je nachdem, was in der lokalen RADIUS-Infrastruktur vorgesehen ist.

Gängige RADIUS-Installationen verwenden laut der Forscher einen Timeout von 30 bis 60 Sekunden für diesen Authentifizierungs-Prozess. Für ihre Hash-Kollision benötigten die Forscher allerdings 3 bis 6 Minuten. Sie gehen allerdings davon aus, dass sich das Errechnen entsprechender Hashes durch den Einsatz von Grafikkarten oder von Field-Programmable Gate Arrays (FPGAs) deutlich beschleunigen lässt. Genaue technische Details zu dem Angriff finden sich , die die Forscher für die ������������𾱳ٲ���ü����� angelegt haben. Proof-of-Concept-Code gibt es bisher nicht.

Möglicher Schutz

Anwender können sich vor dieser ������������𾱳ٲ���ü����� nicht schützen, sie Administratoren des Netzwerks müssen die RADIUS-Installation selbst absichern. Dafür gibt es bereits entsprechende Updates von allen wichtigen Herstellern von RADIUS-Software, die so schnell wie möglich installiert werden sollten. Administratoren, die in ihrer Installation das Message-Authenticator-Attribut für alle Pakete erzwingen können, sollten dies tun, da das laut den Forschern die ������������𾱳ٲ���ü����� unterbindet. Eine entsprechende Änderung des RADIUS-Protokolls wurde von den Forschern angeregt und soll in einen kommenden RFC eingearbeitet werden, sodass neue Versionen des RADIUS-Protokolls ab Werk entsprechend abgesichert sind.

Um die Sicherheit von RADIUS-Installationen noch weiter zu erhöhen, sollten Verbindungen zwischen Client und Server mit moderner Verschlüsselung (etwa TLS 1.3) gesichert werden. Das erschwert Man-in-the-Middle-Angriffe wie die hier beschriebene ������������𾱳ٲ���ü�����. RADIUS-Installationen, die zur Authentifizierung EAP verwenden, sind, nach aktuellem Wissensstand, nicht über Blast-RADIUS angreifbar – das ist etwa im Eduroam-Netz oder beim Einsatz von WPA-Enterprise der Fall.

Gefunden unter

Wie finde ich heraus, ob ich etwas tun muss:
Falls Sie einen Linux-Rechner betreiben, egal ob im Internet, Abteilungsnetz, auf einem Laptop und/oder Server, ist mit hoher Wahrscheinlichkeit auch ein SSH-Dienst aktiv. Sobald ein SSH-Dienst installiert ist, muss mit hoher Wahrscheinlichkeit ein Update installiert werden.

Wer muss handeln:
IT-Admins der betreibenden Organisationseinheit. Vom RHRZ betreute Organisationseinheiten müssen nicht handeln.

Was ist zu tun:
Leiten Sie diese Info an die IT-Admins in Ihrem Bereich weiter und geben Sie folgende Info bzw. Handlungsempfehlung weiter. Falls eine betroffene Distribution eingesetzt wird, bitte die aktualisierten SSH-Pakete sofort einspielen. Zitat: „Admins sollten prüfen, ob ihre Linux-Systeme über aktuelle SSH-Versionen verfügen. Sowohl  als auch  haben neue Pakete auf Lager, Red Hat forscht noch.  zufolge ist jedoch nur Red Hat Enterprise Linux 9 betroffen, da alle anderen Versionen des Red-Hat-Linux ältere OpenSSH-Versionen mitbringen.“

Weitere Informationen unter: 

Ehemaliger Mitarbeiter sagt, der Softwareriese habe seine Warnungen vor einem kritischen Fehler zurückgewiesen, weil er befürchtete, Regierungsgeschäfte zu verlieren. Russische Hacker nutzten die Schwachstelle später, um unter anderem in die National Nuclear Security Administration einzudringen.

Microsoft stellte Andrew Harris wegen seiner außergewöhnlichen Fähigkeit ein, Hacker von den sensibelsten Computernetzwerken des Landes fernzuhalten. Im Jahr 2016 arbeitete Harris hart an einem mysteriösen Vorfall, bei dem Eindringlinge irgendwie in ein großes US-Technologieunternehmen eingedrungen waren.

Der Verstoß beunruhigte Harris aus zwei Gründen. Zunächst ging es um die Cloud des Unternehmens – ein virtuelles Lagerhaus, das in der Regel die sensibelsten Daten eines Unternehmens enthält. Zweitens hatten die Angreifer es auf eine Weise geschafft, die kaum Spuren hinterließ.

Er zog sich in sein Heimbüro zurück, um mögliche Szenarien zu simulieren und die verschiedenen Softwareprodukte, die kompromittiert worden sein könnten, einem Stresstest zu unterziehen.

Schon früh konzentrierte er sich auf eine Microsoft-Anwendung, die sicherstellte, dass Benutzer die Erlaubnis hatten, sich bei Cloud-basierten Programmen anzumelden, das Cyber-Äquivalent zu einem Beamten, der Pässe an einer Grenze überprüft. Dort fand er nach monatelangen Recherchen etwas ernsthaft Falsches.

Das Produkt, das von Millionen von Menschen verwendet wurde, um sich an ihren Arbeitscomputern anzumelden, enthielt einen Fehler, der es Angreifern ermöglichen konnte, sich als legitime Mitarbeiter auszugeben und die "Kronjuwelen" der Opfer zu durchwühlen - nationale Sicherheitsgeheimnisse, geistiges Eigentum von Unternehmen, peinliche persönliche E-Mails - und das alles, ohne Alarm auszulösen.

Für Harris, der zuvor fast sieben Jahre für das Verteidigungsministerium gearbeitet hatte, war es ein Sicherheitsalbtraum. Jeder, der die Software verwendete, war exponiert, unabhängig davon, ob er Microsoft oder einen anderen Cloud-Anbieter wie Amazon verwendete. Aber Harris war am meisten besorgt über die Bundesregierung und die Auswirkungen seiner Entdeckung auf die nationale Sicherheit. Er wies seine Kollegen auf das Problem hin.

Sie sahen das anders, sagte Harris. Die Bundesregierung bereitete sich darauf vor, massiv in Cloud Computing zu investieren, und Microsoft wollte das Geschäft. Harris räumte ein, dass diese ������������𾱳ٲ���ü����� die Chancen des Unternehmens gefährden könnte, und erinnerte sich an einen Produktleiter, der ihm sagte. Die finanziellen Folgen waren enorm. Microsoft könnte nicht nur einen Multimilliarden-Dollar-Deal verlieren, sondern auch das Rennen um die Vorherrschaft auf dem Markt für Cloud Computing.

Harris sagte, er habe das Unternehmen mehrere Jahre lang angefleht, den Fehler im Produkt zu beheben, wie eine Untersuchung von ProPublica ergeben hat. Aber Microsoft wies seine Warnungen auf Schritt und Tritt zurück und sagte ihm, dass sie an einer langfristigen Alternative arbeiten würden – Cloud-Dienste auf der ganzen Welt in der Zwischenzeit anfällig für Angriffe zu machen.

Harris war sich sicher, dass jemand herausfinden würde, wie er die Schwäche ausnutzen konnte. Er hatte sich eine vorübergehende Lösung ausgedacht, aber dafür mussten die Kunden eine der bequemsten und beliebtesten Funktionen von Microsoft deaktivieren: die Möglichkeit, mit einer einzigen Anmeldung auf fast jedes Programm zuzugreifen, das bei der Arbeit verwendet wird.

Er beeilte sich, einige der sensibelsten Kunden des Unternehmens vor der Bedrohung zu warnen, und beaufsichtigte persönlich die Lösung für das New York Police Department. Frustriert über die Untätigkeit von Microsoft verließ er das Unternehmen im August 2020.

Innerhalb weniger Monate wurden seine Befürchtungen Wirklichkeit. US-Beamte bestätigten Berichte, wonach ein staatlich gefördertes Team russischer Hacker SolarWinds durchgeführt hatte, einen der größten Cyberangriffe in der Geschichte der USA. Sie nutzten den Fehler, den Harris identifiziert hatte, um sensible Daten von einer Reihe von Bundesbehörden abzusaugen, darunter, wie ProPublica erfahren hat, die National Nuclear Security Administration, die das Atomwaffenarsenal der Vereinigten Staaten unterhält, und die National Institutes of Health, die zu dieser Zeit mit der COVID-19-Forschung und der Verteilung von Impfstoffen befasst waren. Die Russen nutzten die Schwachstelle auch, um Dutzende von E-Mail-Konten im Finanzministerium zu kompromittieren, darunter auch die seiner hochrangigsten Beamten. Ein Bundesbeamter beschrieb den Verstoß als "eine Spionagekampagne, die auf eine langfristige Sammlung von Informationen abzielt".

Harris' Bericht, der hier zum ersten Mal erzählt wird und durch Interviews mit ehemaligen Kollegen und Mitarbeitern sowie Social-����ֱ��-Posts unterstützt wird, stellt das vorherrschende öffentliche Verständnis des SolarWinds-Hacks auf den Kopf.

Von dem Moment an, als der Hack auftauchte, bestand Microsoft darauf, dass er unschuldig war. Microsoft-Präsident Brad Smith versicherte dem Kongress im Jahr 2021, dass "es keine Schwachstelle in einem Microsoft-Produkt oder -Dienst gab, der ausgenutzt wurde" in SolarWinds.

Er sagte auch, dass die Kunden mehr hätten tun können, um sich zu schützen.

Harris sagte, sie hätten nie die Chance dazu bekommen.

"Die Entscheidungen basieren nicht darauf, was das Beste für Microsofts Kunden ist, sondern darauf, was das Beste für Microsoft ist", sagte Harris, der jetzt für CrowdStrike arbeitet, ein Cybersicherheitsunternehmen, das mit Microsoft konkurriert.

Microsoft lehnte es ab, Smith und andere hochrangige Beamte für Interviews für diese Geschichte zur Verfügung zu stellen, bestritt aber die Ergebnisse von ProPublica nicht. Stattdessen gab das Unternehmen eine Erklärung als Antwort auf schriftliche Fragen ab. "Der Schutz der Kunden hat für uns immer höchste Priorität", sagte ein Sprecher. "Unser Sicherheitsreaktionsteam nimmt alle Sicherheitsprobleme ernst und prüft jeden Fall mit einer gründlichen manuellen Bewertung sowie einer Gegenbestätigung mit Engineering- und Sicherheitspartnern. Unsere Bewertung dieses Problems wurde mehrfach überprüft und entsprach dem Branchenkonsens."

Die Untersuchung von ProPublica kommt zu einem Zeitpunkt, an dem das Pentagon versucht, die Nutzung von Microsoft-Produkten auszuweiten - ein Schritt, der angesichts einer Reihe von Cyberangriffen auf die Regierung von Bundesgesetzgebern unter die Lupe genommen wurde.

Smith soll am Donnerstag vor dem Heimatschutzausschuss des Repräsentantenhauses aussagen, der die Rolle von Microsoft bei einem Verstoß untersucht, der im vergangenen Jahr von Hackern mit Verbindungen zur chinesischen Regierung begangen wurde. Angreifer nutzten Microsoft-������������𾱳ٲ���ü�����n aus, um Zugriff auf die E-Mails hochrangiger US-Beamter zu erhalten. Bei der Untersuchung des Angriffs stellte das Cyber Safety Review Board fest, dass Microsofts "Sicherheitskultur unzureichend war und einer Überarbeitung bedarf".

Microsoft hat seinerseits erklärt, dass die Arbeit bereits begonnen hat, und erklärt, dass die oberste Priorität des Unternehmens die Sicherheit "vor allem" ist. Ein Teil der Bemühungen besteht darin, die Empfehlungen des Vorstands zu übernehmen. "Wenn Sie mit dem Kompromiss zwischen Sicherheit und einer anderen Priorität konfrontiert sind, ist Ihre Antwort klar: "Tun Sie Sicherheit", sagte der CEO des Unternehmens, Satya Nadella, den Mitarbeitern nach dem Bericht des Vorstands, der eine "Unternehmenskultur feststellte, die sowohl Investitionen in die Unternehmenssicherheit als auch ein rigoroses Risikomanagement vernachlässigte".

Die Untersuchung von ProPublica fügt neue Details und einen entscheidenden Kontext über diese Kultur hinzu und bietet einen beunruhigenden Einblick in den Umgang des weltweit größten Softwareanbieters mit der Sicherheit seiner eigenen allgegenwärtigen Produkte. Es bietet auch wichtige Einblicke in die Art und Weise, wie sehr das Streben nach Gewinnen diese Sicherheitsentscheidungen vorantreiben kann, insbesondere da Tech-Giganten darauf drängen, die neuesten – und lukrativsten – Grenzen zu dominieren, einschließlich des Cloud-Marktes.

"Das ist Teil des Problems in der Branche insgesamt", sagte Nick DiCola, der einer von Harris' Chefs bei Microsoft war und jetzt bei Zero Networks, einer Netzwerksicherheitsfirma, arbeitet. Börsennotierte Tech-Giganten "sind dem Aktienkurs verpflichtet, nicht immer das Richtige für den Kunden zu tun. Das ist einfach eine Realität des Kapitalismus. Das wird man in einem börsennotierten Unternehmen nie ändern, denn am Ende des Tages wollen sie, dass der Shareholder Value steigt."

Eine "Cloud-First-Welt"

...

Ein Zusammenstoß mit der "Won't Fix"-Kultur

...

Geschäft vor Sicherheit

...

Die Konkurrenz töten

...

Eine weitere wichtige Warnung

...

Eine tickende Bombe entschärfen

...

Weitere beunruhigende Enthüllungen

...

SolarWinds-Angriff

...

"Microsoft ist wieder an der Spitze"

...

Gefunden auf  

In der weitverbreiteten und freien ����ֱ��player-Software VLC ����ֱ�� Player klafft eine ������������𾱳ٲ���ü�����, die es Angreifern ermöglicht, die Software zum Absturz zu bringen und potenziell sogar Schadcode auszuführen. Wie aus einem  hervorgeht, handelt es sich um eine DoS-Schwachstelle (Denial of Service), die auf einem heap-basierten Integer-Überlauf beruht.

Ausnutzen lässt sich die ������������𾱳ٲ���ü����� demnach durch einen speziell gestalteten MMS-Stream (Microsoft ����ֱ�� Server), der aktiv vom Benutzer in VLC geöffnet werden muss. "Bei Erfolg könnte eine böswillige dritte Partei entweder einen Absturz von VLC oder eine beliebige Codeausführung mit den Rechten des Zielbenutzers auslösen", erklärt der Entwickler der Software.

VideoLAN geht davon aus, dass eine Ausnutzung der Schwachstelle mit hoher Wahrscheinlichkeit nur zu einem Absturz der Software führt. Dennoch sei nicht auszuschließen, dass ein Angreifer damit Benutzerinformationen abgreifen oder aus der Ferne beliebigen Code ausführen (RCE) könne, heißt es in dem Bulletin.

ASLR (Address Space Layout Randomization) und DEP (Data Execution Prevention) trügen zwar dazu bei, "die Wahrscheinlichkeit der Codeausführung zu verringern, können aber umgangen werden", so der Entwickler.

Ein Patch steht bereit

Anfällig sind alle VLC-Versionen bis einschließlich 3.0.20. Details dazu, wie sich die ������������𾱳ٲ���ü����� ausnutzen lässt, sind bisher nicht bekannt. Eine CVE-Nummer oder Einstufung des Schweregrades der Schwachstelle gibt VideoLAN nicht an. Der Entwickler betont jedoch, bisher keine Exploits gesehen zu haben, die die Ausführung von Schadcode ermöglichten.

Wer sich vor möglichen Angriffen schützen will, kann dies durch ein Update tun. Laut VideoLAN wurde das Problem mit der jüngst veröffentlichten Version 3.0.21 des VLC ����ֱ�� Player behoben. All jenen, die das Update noch nicht installiert haben, wird empfohlen, das Öffnen von MMS-Streams aus nicht vertrauenswürdigen Quellen zu meiden, bis die Software aktualisiert wurde.

Als Entdecker der Schwachstelle nennt VideoLAN Andreas Fobian vom deutschen IT-Sicherheitsdienstleister Mantodea Security GmbH. 

Gefunden auf  

Google muss im -Webbrowser erneut mit einem Notfall-Update außer der Reihe eine Zero-Day-Lücke abdichten. Dafür kursiert bereits ein Exploit in freier Wildbahn – das passiert zum vierten Mal in den vergangenen zwei Wochen. Wer Chromium-basierte  einsetzt, sollte zügig prüfen, ob eine Aktualisierung bereitsteht und diese installieren.

In der , dass die ������������𾱳ٲ���ü����� durch eine "Type Confusion" in der Javascript-Engine V8 aufgerissen wird. Dabei passen tatsächlich genutzte Datentypen nicht zu den im Programmcode vorgesehenen, was in Zugriffe auf nicht dafür vorgesehene Speicherbereiche und in manchem Fall die Ausführung von untergeschobenem Schadcode münden kann. Der CVE-Eintrag ist noch nicht veröffentlicht, jedoch lässt sich diese Schwachstelle wahrscheinlich durch das Anzeigen einer sorgsam präparierten Webseite missbrauchen (CVE-2024-5274, kein CVSS-Wert, Risiko laut Google "hoch").

Chrome-Zero-Day-Lücke bereits angegriffen

"Google ist bekannt, dass ein Exploit für CVE-2024-5274 in freier Wildbahn existiert", schreiben die Autoren in der Mitteilung. Da die Schwachstelle unter anderem von Clément Lecigne aus Googles Threat-Analysis-Gruppe (TAG) entdeckt wurde, deutet das auf bereits laufende Angriffe hin. Googles TAG untersucht in der Regel bereits erfolgte Attacken auf ������������𾱳ٲ���ü�����n.

Die aktuellen Versionen von Google Chrome, die den Fehler korrigieren, lauten 125.0.6422.112/.113 für Android, 125.0.6422.112 für Linux und 125.0.6422.112/.113 für macOS und Windows. Zudem ist die Extended Stable-Version mit der Nummer 124.0.6367.233 unter macOS und Windows auf dem neuesten Stand.

�ձ�������DzԲ����ü�ڳܲԲ�

Ob Chrome auf dem aktuellen Stand ist, verrät der Versionsdialog, der sich im Einstellungsmenü des Browsers hinter dem Symbol mit den drei übereinander gestapelten Punkten findet. Dort ist er unter "Hilfe" – "Über Google Chrome" aufrufbar. Der zeigt die aktuell laufende Software-Fassung an und startet bei Verfügbarkeit den Aktualisierungsprozess.

Unter Linux zeichnet in der Regel die Softwareverwaltung der eingesetzten Distribution für das Update des Chrome-Browsers verantwortlich. Die Lücke betrifft den Chromium-Browser, auf dem auch andere Webbrowser wie Microsofts Edge basieren. Für diese dürften daher in Kürze ebenfalls drängende Aktualisierungen bereitstehen, die Nutzerinnen und Nutzer zügig anwenden sollten.

In den vergangenen zwei Wochen hatte Google bereits drei weitere Zero-Day-Lücken im Chromium-Browser abdichten müssen. Sie wurden ebenfalls mit Exploits angegriffen.

Gefunden auf  

Das Landeskriminalamt Nordrhein-Westfalen warnt vor möglichen Cyberangriffen über Outlook und die Dokumentenverwaltung von Office 365.

Das Landeskriminalamt Nordrhein-Westfalen (LKA NRW) warnt aufgrund aktueller Ermittlungen vor möglichen Cyberangriffen über Office 365, speziell auf das E-Mail-Programm Outlook und die Dokumentenverwaltung. Die Angriffe gefährden nicht nur die betroffenen Firmen, sondern auch deren Kunden und Kommunikationspartner. Das Ziel der Täter ist die Übernahme von E-Mail-Konten, um dann im Namen der Unternehmen Nachrichten zu versenden, die gefährliche Anhänge oder Links enthalten. Oft wirken die Phishing-Mails authentisch, da sie echte Gesprächsverläufe enthalten.

Gezielte Suche nach VPN-Zugangsdaten

Ein Klick auf die Links kann zu Angriffen auf IT-Systeme und damit einhergehend unter anderem zu Datenabflüssen führen. Die Cyberkriminellen suchen in den übernommenen E-Mail-Konten gezielt nach Informationen aus den Anfängen der Corona-Krise, als Mitarbeiter teils zu Homeoffice verpflichtet wurden – insbesondere nach VPN-Zugangsdaten nicht öffentlicher IT-Netzwerke. Mit diesen Informationen können die Täter direkten Zugriff auf die IT-Infrastruktur von Unternehmen erhalten. Zudem können sie auf Dokumente in den E-Mails zugreifen.

"Dank der Ermittlungen des Landeskriminalamtes Nordrhein-Westfalen konnten bereits einige Firmen vor weiteren Angriffen wie Verschlüsselungen durch Ransomware und den damit verbundenen Erpressungen geschützt werden. Durch solche Cyberattacken entstehen ansonsten regelmäßig Schäden in Millionenhöhe", schreibt das LKA in einer Pressemitteilung. Aufgrund der Entwicklungen betont es zudem die Bedeutung umfassender Sicherheitskonzepte und die Sensibilisierung von Mitarbeitern. Außerdem empfiehlt das LKA, betroffenen Unternehmen sich an die Cybercrime-Hotline unter der Nummer 0211/ 939-4040 zu wenden oder über cybercrime.lka@polizei.nrw.de Kontakt zu Mitarbeitern des Cybercrime-Kompetenzzentrums aufzunehmen. Hier finden Sie auch eine allgemeine Übersicht zu den "" für Unternehmen.

Gefunden auf   

Als "fotografisches Gedächtnis" für den PC verkauft der Tech-Konzern Microsoft seine neuen KI-Anwendungen mit Copilot. Dafür macht der PC alle paar Sekunden einen Screenshot.

Der Mai ist schon jetzt von großen Ankündigungen der US-Tech-Unternehmen zur  (KI) geprägt: Erst legten OpenAI und  die Updates ihrer jeweiligen Chatbots vor.

Nun ist  dran: Anders als bei Google und OpenAI geht es diesmal um die Fusion von Künstlicher Intelligenz und Computern.

Das US-Start-up Eternos hat eine KI entwickelt, die Angehörigen einen digitalen Zwilling eines Verstorbenen hinterlässt. Medienethiker befürchten Folgen für die Trauerbewältigung.

Copilot+ PCs - was hinter der Ankündigung steckt

Der KI-Assistent von Microsoft heißt Copilot, entwickelt mit dem gleichen Grundlagenmodell wie  von OpenAI, und soll nun fest in Windows-Rechner einziehen. Ein neuer Zusatzchip soll sich nur um KI-Anwendungen kümmern.

• Chatbot-Gespräche in Echtzeit: 
• Google verändert Suchmaschine: 

Das nennt Microsoft "Copilot+ PCs". Es soll den Computer deutlich schneller machen und auch die Batterielaufzeit verlängern. Damit sollen Anwendungen machbar sein, "die auf keinem anderen PC möglich sind", so Microsoft.

Finden und merken Sie sich mit 'Recall' ganz einfach alles, was Sie auf Ihrem PC je gesehen haben.

Microsoft

Mit der neuen Suchfunktion "Recall" will Microsoft das Finden von Dateien, Fotos und anderen Elementen auf dem PC erleichtern und zwar nicht mit einer reinen Stichwortsuche, sondern als semantische Suche, wodurch etwa Bilder einfach zu finden sein sollen und man etwa nicht mehr den genauen Dateinamen von Dokumenten erinnern muss.

Das soll so funktionieren:

• Der Computer macht in kurzen Abständen Bildschirmaufnahmen
• Diese werden dann mit Künstlicher Intelligenz analysiert
• Bei der Suche werden Funktionen wie Bild- und Texterkennung genutzt

So zeigt ein Video auf der , wie eine Person bei "Recall" nach einer braunen Tasche sucht und zum gewünschten Ergebnis - dem Bild einer braunen Tasche - kommt.

"Recall" - Ist das sicher?

Das entspreche mehr dem, wie die menschliche Erinnerung funktioniere, argumentiert Microsoft: "Sie können durch die Zeit scrollen, um die benötigten Inhalte in Ihrer Timeline in jeder Anwendung, Website, jedem Dokument oder mehr zu finden."

Das Ziel in der Computerbranche sei schon immer gewesen, "Computer zu bauen, die uns verstehen, statt dass wir Computer verstehen müssen", sagte Microsoft-Chef Satya Nadella bei der Präsentation im Hauptquartier des Konzerns am Montag.

Mit Recall können Sie jetzt auf alles zugreifen, was Sie auf Ihrem PC gesehen oder getan haben, und zwar so, als hätten Sie ein fotografisches Gedächtnis.

Microsoft

Speicherung nur für wenige Monate

Damit das flüssig funktioniert, auch offline klappt und die Daten der Nutzer sicher sind, werden diese Bildschirmaufnahmen lokal gespeichert: "Sie können einzelne Screenshots löschen, Zeitbereiche in den Einstellungen anpassen und löschen oder jederzeit direkt über das Symbol in der Taskleiste anhalten", schreibt Microsoft.

Die lokale Speicherung führt allerdings auch zu Nachteilen: Auf KI-PCs mit dem Mindestspeicher von 256 Gigabyte wird das Gedächtnis der Funktion nur etwa drei Monate zurückreichen. Mehr als 18 Monate sind dadurch auch mit größerem Speicher nicht drin. Zugleich versichert Mehdi, dass man den Funktionsumfang mit der Zeit ausbauen werde.

Mit großer Mehrheit stimmt das EU-Parlament für den AI Act. Das Gesetz ist das erste seiner Art und sieht etwa die Unterteilung von KI-Systemen in verschiedene Risikogruppen vor.

Wenn der Copilot beim Gaming hilft

Ein anderer Anwendungsfall ist: Der Copilot als Live-Assistent beim Arbeiten oder Spielen am Computer. Eine Demonstration zeigt, wie die KI in Echtzeit mit dem Nutzer beim Spielen spricht: Dieser stellt etwa Detail-Fragen zum Spiel und plaudert drauf los. Der Copilot erklärt, gibt Tipps - und zeigt auch Emotionen, als der Spieler von gefährlichen Zombies gejagt wird.

Neue Windows-KI-PCs ab Mitte Juni

Die KI-Anwendungen sollen auf neuen Microsoft Surface Geräten sowie auf PCs von Acer, Asus, Dell, HP, Lenovo und Samsung laufen. Laut Microsoft werden die neuen Geräte ab dem 18. Juni verfügbar sein und bei 999 US-Dollar starten.

Gefunden unter 

Das Bundesamt für Sicherheit in der Informationstechnik hat offenbar ein offizielles Verfahren gegen Microsoft eingeleitet – und wartet weiter auf Antworten.

Die oberste deutsche IT-Sicherheitsbehörde ist doch nicht so untätig, wie es den Anschein hatte. Seit Herbst vorigen Jahres steht das Bundesamt für Sicherheit in der Informationstechnik (BSI) offenbar bei Microsoft auf der Matte, um Informationen zu dessen Sicherheitsvorkehrungen zu bekommen. Nachdem Microsoft nicht lieferte und die Kommunikation immer weiter verschleppte, griff das BSI dann zu seinem schärfsten Schwert: Paragraf 7a des BSI-Gesetzes, mit dem es unter anderem die Herausgabe von Informationen einklagen kann. Das wurde jetzt durch ein Leak aus dem Digitalausschuss des Bundestags bekannt.

Das Auskunftsbegehren steht im Kontext der eklatanten Sicherheitsvorfälle bei Microsoft, bei denen staatliche Angreifer mehrfach Informationen von Microsoft selbst, aber auch von deren Cloud-Kunden abgreifen konnten. Konkret geht es um den Diebstahl des Master-Keys zur Microsoft-Cloud. Die vom US-amerikanischen Department of Homeland Security (DHS) eingesetzte Untersuchungskommission diagnostizierte in diesem Fall bereits . Mit denen sprach Microsoft immerhin; gegenüber dem BSI hingegen hakte der Informationsfluss so sehr, dass die deutsche Behörde ihre Nachfragen schrittweise immer weiter eskalierten.

Harsche Kritik an Microsoft

"Das BSI hat im weiteren Verlauf der fachlichen Auseinandersetzung mit Microsoft den formellen Weg der Anordnung beschritten, weil die Angaben, die das BSI zuvor in einem regulären Austausch erhalten hat, nicht zufriedenstellend waren", erklärte ein Sprecher des BSI gegenüber heise Security das Vorgehen. Konkret ging es dem BSI dabei unter anderem um den Einsatz der sogenannten Double Key Encryption, die eigentlich einen Datenabfluss zumindest in speziell gesicherten Umgebungen hätte verhindern können. Denn bei diesem Verfahren werden die Daten mit zwei Schlüsseln chiffriert, von denen einer immer beim Kunden verbleibt. Doch die Details dazu sind so unklar, dass man beim BSI offenbar nicht einschätzen kann, ob die Angreifer nicht eventuell doch Klartextdaten abgreifen konnten.

Auch auf wiederholte Nachfragen und Androhung einer Klage lieferte Microsoft die angeforderten Informationen dazu nicht. Daher nutze das BSI jetzt die ihm zur Verfügung stehenden rechtlichen Instrumente, erläutert der BSI-Sprecher, der nach wie vor Informationsbedarf sieht. Er verweist dabei auch explizit auf die harsche Kritik des US-amerikanischen Cyber Security Review Boards, dessen Einschätzung das BSI teile. "Das BSI sieht, dass andere Cloud-Anbieter besser aufgestellt sind, was die technische Realisierung von Sicherheit angeht und wie sie reagieren, wenn es zu einem IT-Sicherheitsvorfall kommt" lautet auch sein Fazit.

Paragraf 7 des BSIG

In Paragraf 7 des BSI-Gesetzes geht es um Warnungen durch das BSI. Paragraf 7a regelt die dazu nötige "Untersuchung der Sicherheit in der Informationstechnik"; demnach kann das Bundesamt "von Herstellern informationstechnischer Produkte und Systeme alle notwendigen Auskünfte, insbesondere auch zu technischen Details, verlangen". Genau das hat das BSI offenbar getan und berichtete darüber im Digitalausschuss des Deutschen Bundestags. Von dort leckten die Informationen anscheinend zum Spiegel, der weitere Details dazu berichtet.

Anmerkung in eigener Sache: Der Autor dieses Artikels hatte angesichts der Aktivitäten der US-amerikanischen CISA und der scheinbaren Untätigkeit des BSI vor einer gewarnt. Das möchte ich hiermit zurücknehmen – ich bin "officially impressed" von der aktuellen Vorgehensweise und sehr gespannt, was da weiter herauskommt.

Gefunden auf 

Zum dritten Mal innerhalb einer Woche aktualisiert Google den Chrome-Webbrowser. Erneut kursiert ein Exploit für eine Zero-Day-Lücke darin.

Google veröffentlicht erneut ein Notfall-Sicherheitsupdate für den Webbrowser . Für eine neue Zero-Day-Lücke im Browser kursiert abermals ein Exploit in freier Wildbahn. Dabei vollzieht der Anbieter auch den Versionssprung in den 125-Entwicklungszweig.

In der , dass die neue Version insgesamt neun Sicherheitslecks abdichtet. Knappe Informationen liefern sie lediglich für vier davon, fünf wurden demnach intern gefunden. Zwei wurden als hohes Risiko, eine als mittleres und eine als niedriger Bedrohungsgrad eingestuft.

Zero-Day-Lücke mit Exploit

Eine Lücke vom Typ Type-Confusion betrifft die Javascript-Engine V8. Dabei passen verarbeitete Datentypen nicht zu den im Programmcode vorgesehenen, was zum Überschreiten von Speichergrenzen und in manchen Fällen zum Ausführen von untergeschobenem Code führen kann. In diesem Fall können Angreifer die Lücke etwa mit einer bösartig manipulierten Webseite missbrauchen, um beliebigen Code innerhalb einer Sandbox auszuführen (, kein CVSS-Wert, Risiko laut Google "hoch"). Für diese ������������𾱳ٲ���ü����� weiß Google von Exploits, die in freier Wildbahn kursieren.

Zudem schließen die neuen Versionen eine Use-after-free-Schwachstelle in der Browser-Komponente Dawn (CVE-2024-4948, hoch) und eine in der V8-Javbascript-Engine (CVE-2024-4949, mittel) sowie eine unangemessene Implementierung in Downloads (CVE-2024-4950, niedrig).

Die abgesicherten Browser-Versionen lauten nun Chrome 125.0.6422.53 für Android, 125.0.6422.60 für Linux und 125.0.6422.60/.61 für macOS und Windows. Die Extended-Stable-Version wurde ebenfalls aktualisiert, dort ist nun Stand 124.0.6367.221 für macOS und Windows aktuell. Wer Google Chrome einsetzt, sollte sicherstellen, dass die aktuelle Fassung installiert und aktiv ist.

Sicherstellen, dass aktuelle Version läuft

Der Versionsdialog von Google Chrome zeigt den aktuell laufenden Software-Stand an und startet gegebenenfalls den Update-Vorgang. Durch Klick auf das Einstellungsmenü des Webbrowsers, das sich hinter dem Symbol mit den drei gestapelten Punkten rechts von der Adressleiste befindet, und den weiteren Weg über "Hilfe" – "Über Google Chrome" gelangen Nutzer und Nutzerinnen dort hin.

Wer Chrome unter Linux nutzt, startet für die Update-Suche üblicherweise die Software-Verwaltung der eingesetzten Distribution. Da die Fehler den Chromium-Webbrowser betreffen, auf dem auch andere Browser wie Microsofts Edge basieren, dürfte für die anderen abgeleiteten Webbrowser in Kürze ebenfalls eine Aktualisierung bereitstehen. Die sollten Nutzer umgehend installieren.

Derzeit gibt es eine ungewöhnliche Häufung an Exploits, die im Umlauf sind und mit denen sich bislang unbekannte Schwachstellen in Chrome angreifen ließen, sogenannte Zero-Day-Lücken. Bereits am Freitag vergangener und dem Dienstag dieser Woche hatte Google Notfall-Updates herausgegeben, die solche ������������𾱳ٲ���ü�����n gestopft haben.

Zum dritten Mal innerhalb einer Woche aktualisiert Google den Chrome-Webbrowser. Erneut kursiert ein Exploit für eine Zero-Day-Lücke darin.

Google veröffentlicht erneut ein Notfall-Sicherheitsupdate für den Webbrowser . Für eine neue Zero-Day-Lücke im Browser kursiert abermals ein Exploit in freier Wildbahn. Dabei vollzieht der Anbieter auch den Versionssprung in den 125-Entwicklungszweig.

In der , dass die neue Version insgesamt neun Sicherheitslecks abdichtet. Knappe Informationen liefern sie lediglich für vier davon, fünf wurden demnach intern gefunden. Zwei wurden als hohes Risiko, eine als mittleres und eine als niedriger Bedrohungsgrad eingestuft.

Zero-Day-Lücke mit Exploit

Eine Lücke vom Typ Type-Confusion betrifft die Javascript-Engine V8. Dabei passen verarbeitete Datentypen nicht zu den im Programmcode vorgesehenen, was zum Überschreiten von Speichergrenzen und in manchen Fällen zum Ausführen von untergeschobenem Code führen kann. In diesem Fall können Angreifer die Lücke etwa mit einer bösartig manipulierten Webseite missbrauchen, um beliebigen Code innerhalb einer Sandbox auszuführen (, kein CVSS-Wert, Risiko laut Google "hoch"). Für diese ������������𾱳ٲ���ü����� weiß Google von Exploits, die in freier Wildbahn kursieren.

Zudem schließen die neuen Versionen eine Use-after-free-Schwachstelle in der Browser-Komponente Dawn (CVE-2024-4948, hoch) und eine in der V8-Javbascript-Engine (CVE-2024-4949, mittel) sowie eine unangemessene Implementierung in Downloads (CVE-2024-4950, niedrig).

Die abgesicherten Browser-Versionen lauten nun Chrome 125.0.6422.53 für Android, 125.0.6422.60 für Linux und 125.0.6422.60/.61 für macOS und Windows. Die Extended-Stable-Version wurde ebenfalls aktualisiert, dort ist nun Stand 124.0.6367.221 für macOS und Windows aktuell. Wer Google Chrome einsetzt, sollte sicherstellen, dass die aktuelle Fassung installiert und aktiv ist.

Sicherstellen, dass aktuelle Version läuft

Der Versionsdialog von Google Chrome zeigt den aktuell laufenden Software-Stand an und startet gegebenenfalls den Update-Vorgang. Durch Klick auf das Einstellungsmenü des Webbrowsers, das sich hinter dem Symbol mit den drei gestapelten Punkten rechts von der Adressleiste befindet, und den weiteren Weg über "Hilfe" – "Über Google Chrome" gelangen Nutzer und Nutzerinnen dort hin.

Wer Chrome unter Linux nutzt, startet für die Update-Suche üblicherweise die Software-Verwaltung der eingesetzten Distribution. Da die Fehler den Chromium-Webbrowser betreffen, auf dem auch andere Browser wie Microsofts Edge basieren, dürfte für die anderen abgeleiteten Webbrowser in Kürze ebenfalls eine Aktualisierung bereitstehen. Die sollten Nutzer umgehend installieren.

Derzeit gibt es eine ungewöhnliche Häufung an Exploits, die im Umlauf sind und mit denen sich bislang unbekannte Schwachstellen in Chrome angreifen ließen, sogenannte Zero-Day-Lücken. Bereits am Freitag vergangener und dem Dienstag dieser Woche hatte Google Notfall-Updates herausgegeben, die solche ������������𾱳ٲ���ü�����n gestopft haben.

Gefunden auf 

Microsoft hat am Dienstag einen Patch für eine Zero-Day-Schwachstelle in Windows veröffentlicht, die im Rahmen der Verbreitung von Malware bereits aktiv ausgenutzt wird. Die ������������𾱳ٲ���ü����� ist als  registriert und ermöglicht es einem Angreifer mit lokalem Zugriff, Systemrechte zu erlangen. Vorab braucht er dafür nur geringe Privilegien. Die Komplexität des Angriffs ist als gering eingestuft.

Die Schwachstelle basiert auf einem Pufferüberlauf in der Core-Library des Desktop Window Managers (DWM) – einem mit Windows Vista eingeführten Fenstermanager. Anfällig sind Windows 10 und 11 sowie Windows Server 2016, 2019 und 2022. Patches stehen seit dem 14. Mai für alle betroffenen Systeme bereit und sollten angesichts der aktiven Ausnutzung zeitnah installiert werden.

Entdeckt in einem Upload auf Virustotal

Entdeckt wurde CVE-2024-30051 von Sicherheitsforschern von Kaspersky, während sie Anfang April Nachforschungen bezüglich einer anderen und als  registrierten ������������𾱳ٲ���ü����� anstellten. Bei Letzterer handelt es sich ebenfalls um eine Zero-Day-Schwachstelle in der DWM-Core-Library, die eine Rechteausweitung ermöglicht und schon 2023 entdeckt und gepatcht wurde.

Bei ihren Untersuchungen wurden die Forscher  auf eine am 1. April bei Virustotal hochgeladene Datei aufmerksam. Darin sei eine kurze Beschreibung einer ������������𾱳ٲ���ü����� im DWM enthalten gewesen, inklusive einer Erklärung, wie diese ausgenutzt werden könne, um Systemprivilegien zu erlangen. Der Ablauf habe jenem zur Ausnutzung von CVE-2023-36033 geähnelt, die Schwachstelle sei jedoch eine andere gewesen.

Das Forscherteam habe Microsoft umgehend über seine Entdeckung informiert, heißt es weiter im Bericht von Kaspersky. Im Anschluss habe das Team damit begonnen, nach verfügbaren Exploits und Angriffen zu suchen. Mitte April wurden die Forscher dann fündig: "Wir haben gesehen, dass die ������������𾱳ٲ���ü����� zusammen mit Qakbot und anderer Malware verwendet wird, und glauben, dass mehrere Bedrohungsakteure Zugang dazu haben", so die Forscher.

Bei Qakbot handelt es sich um eine Schadsoftware, die infizierte Systeme in ein Botnetz eingliedert und diese unter anderem für Ransomwareangriffe missbraucht. Das FBI hatte im August 2023 die erfolgreiche  verkündet. Später stellte sich jedoch heraus, dass die Hintermänner dabei offenbar nicht erwischt wurden. Sicherheitsforscher von Cisco Talos entdeckten im Oktober 2023 , die mit den Qakbot-Akteuren in Verbindung gebracht wurde.

Mit technischen Details zu CVE-2024-30051 hält sich Kaspersky noch zurück. Das Forschungsteam wolle Anwendern zunächst Zeit einräumen, ihre Windows-Systeme zu patchen, so das Argument.

Gefunden auf

Eine ������������𾱳ٲ���ü����� im quelloffenen LibreOffice ermöglicht Angreifern, Opfern Schadcode unterzujubeln. Die müssen nur einmal klicken.

Die Open-Source-Bürosoftware-Suite  ist von einer ������������𾱳ٲ���ü����� betroffen. Durch das Verleiten von Opfern zum Öffnen eines bösartig präparierten Dokuments und das Klicken darin können Angreifer ihnen offenbar Schadcode unterjubeln, der ausgeführt wird.

In einer , dass die Büro-Software das Verknüpfen von Skripten mit Klick-Ereignissen auf Grafiken unterstütze. "Für betroffene Versionen von LibreOffice gibt es Szenarien, in denen eingebettete Skripte ohne Warnung ausgeführt werden, wenn Nutzer auf ein Dokument mit solchen On-Click-Handlern klicken", beschreiben die Programmierer das Problem (CVE-2024-3044, CVSS 8.8, Risiko "hoch").

LibreOffice: Risikoeinstufung der Lücke

Während das LibreOffice-Projekt sich mit einer konkreten Einstufung des Bedrohungsgrads vornehm zurückhält, hat das  die Lücke mit einem CVSS-Wert von 8.8 als nur knapp am Status "kritisch" vorbei als hochriskant eingeordnet.

In frühen Versionen von LibreOffice seien solche Skripte als vertrauenswürdig eingestuft gewesen, inzwischen betrachte man sie jedoch als unsicher. Die Fehlerkorrektur sieht so aus, dass die von Nutzern bewilligten Rechte zur Ausführung von Makros, die beim Laden eines Dokuments vergeben werden, nun auch für diese On-Click-Handler verwendet werden.

Als Lösung des Sicherheitsproblems empfiehlt das Projekt, auf die fehlerbereinigten LibreOffice-Versionen zu aktualisieren.  des Projekts zum Herunterladen bereit. Linux-Nutzer sollten ihre Softwareverwaltung starten und prüfen, ob die fehlerbereinigten Versionen bereits installiert wurden.

Vor rund einem Jahr hatte das Ghostscript-Paket eine ������������𾱳ٲ���ü����� in diverse Software-Installationen gerissen. So auch in LibreOffice, das Ghostscript mitbringt. Die Lücke ließ sich auch damals durch das Öffnen manipulierter Dokumente missbrauchen.

Gefunden auf 

Anfällig sind nicht nur  und , sondern auch Windows Server 2016, 2019 und 2022. Hacker nutzen die Zero-Day- aus, um Systemrechte zu erlangen.

Microsoft hat am Dienstag einen Patch für eine Zero-Day-Schwachstelle in Windows veröffentlicht, die im Rahmen der Verbreitung von Malware bereits aktiv ausgenutzt wird. Die ������������𾱳ٲ���ü����� ist als  registriert und ermöglicht es einem Angreifer mit lokalem Zugriff, Systemrechte zu erlangen. Vorab braucht er dafür nur geringe Privilegien. Die Komplexität des Angriffs ist als gering eingestuft.

Die Schwachstelle basiert auf einem Pufferüberlauf in der Core-Library des Desktop Window Managers (DWM) – einem mit Windows Vista eingeführten Fenstermanager. Anfällig sind Windows 10 und 11 sowie Windows Server 2016, 2019 und 2022. Patches stehen seit dem 14. Mai für alle betroffenen Systeme bereit und sollten angesichts der aktiven Ausnutzung zeitnah installiert werden.

Entdeckt in einem Upload auf Virustotal

Entdeckt wurde CVE-2024-30051 von Sicherheitsforschern von Kaspersky, während sie Anfang April Nachforschungen bezüglich einer anderen und als  registrierten ������������𾱳ٲ���ü����� anstellten. Bei Letzterer handelt es sich ebenfalls um eine Zero-Day-Schwachstelle in der DWM-Core-Library, die eine Rechteausweitung ermöglicht und schon 2023 entdeckt und gepatcht wurde.

Bei ihren Untersuchungen wurden die Forscher  auf eine am 1. April bei Virustotal hochgeladene Datei aufmerksam. Darin sei eine kurze Beschreibung einer ������������𾱳ٲ���ü����� im DWM enthalten gewesen, inklusive einer Erklärung, wie diese ausgenutzt werden könne, um Systemprivilegien zu erlangen. Der Ablauf habe jenem zur Ausnutzung von CVE-2023-36033 geähnelt, die Schwachstelle sei jedoch eine andere gewesen.

Das Forscherteam habe Microsoft umgehend über seine Entdeckung informiert, heißt es weiter im Bericht von Kaspersky. Im Anschluss habe das Team damit begonnen, nach verfügbaren Exploits und Angriffen zu suchen. Mitte April wurden die Forscher dann fündig: "Wir haben gesehen, dass die ������������𾱳ٲ���ü����� zusammen mit Qakbot und anderer Malware verwendet wird, und glauben, dass mehrere Bedrohungsakteure Zugang dazu haben", so die Forscher.

Bei Qakbot handelt es sich um eine Schadsoftware, die infizierte Systeme in ein Botnetz eingliedert und diese unter anderem für Ransomwareangriffe missbraucht. Das FBI hatte im August 2023 die erfolgreiche  verkündet. Später stellte sich jedoch heraus, dass die Hintermänner dabei offenbar nicht erwischt wurden. Sicherheitsforscher von Cisco Talos entdeckten im Oktober 2023 , die mit den Qakbot-Akteuren in Verbindung gebracht wurde.

Mit technischen Details zu CVE-2024-30051 hält sich Kaspersky noch zurück. Das Forschungsteam wolle Anwendern zunächst Zeit einräumen, ihre Windows-Systeme zu patchen, so das Argument.

Gefunden auf 

Google veröffentlicht erneut ein Notfall-Update für den Webbrowser Chrome. Es gibt schon einen Exploit für die Zero-Day-Lücke.

Erst am vergangenen Freitag hatte Google ein Notfall-Update für den Webbrowser  veröffentlicht, da ein Exploit für eine bis dahin unbekannte Schwachstelle kursierte. In der Nacht zum Dienstag ist nun noch mal dasselbe passiert: Google veröffentlicht ein Notfall-Update, um eine ������������𾱳ٲ���ü����� in Chrome zu schließen, für die ein Exploit in freier Wildbahn entdeckt wurde.

In der , dass die Schwachstelle darin besteht, dass Angreifer potenzielle Schreibzugriffe außerhalb der vorgesehenen Speichergrenzen in der Javascript-Engine V8 provozieren können (CVE-2024-4761, noch kein CVSS-Wert, Risiko laut Google "hoch"). Weitere Details nennt Google nicht, sondern gibt lediglich den Hinweis: "Google hat Kenntnis davon, dass ein Exploit für CVE-2024-4761 in freier Wildbahn existiert".

Offenbar ausnutzbare ������������𾱳ٲ���ü�����

Zwar nennt Google keine näheren Informationen, jedoch lassen sich solche Lücken oftmals zum Einschleusen und Ausführen von Schadcode missbrauchen. Dazu genügt meist das Anzeigen einer sorgsam präparierten Webseite. Aufgrund der Dringlichkeit, die Google offenbar sieht, lässt sich ableiten, dass dies hier der Fall ist.

Die ������������𾱳ٲ���ü����� schließen die nun verfügbaren Chrome-Versionen 124.0.6367.179 für Android, 124.0.6367.207 für Linux (zugleich auch der neue Stand für die Extended Stable-Releases) sowie 124.0.6367.207/.208 für macOS und Windows.

Alles up to date?

Ob der Webbrowser bereits auf dem aktuellen Stand ist, verrät der Versionsdialog. Der öffnet sich nach Klick auf das Einstellungsmenü, das sich hinter dem Symbol mit den drei aufeinander gestapelten Punkten rechts von der Adresszeile des Browsers befindet, und den weiteren Weg über "Hilfe" – "Über Google Chrome".

Fehlt die Aktualisierung noch, startet das den Update-Prozess. Unter Linux müssen Nutzer dafür in der Regel die Software-Verwaltung der eingesetzten Distribution starten und nach Aktualisierungen suchen lassen. Auf Mobilgeräten ist im jeweiligen App-Store eine Suche nach Updates möglich. Da die Schwachstelle im Chromium-Browser gefunden wurde, sind auch andere darauf basierende Webbrowser wie Microsofts Edge betroffen. Sofern dafür Aktualisierungen bereitstehen, sollten Nutzerinnen und Nutzer sie zügig installieren.

Am vergangenen Freitag hatte Google bereits eine Zero-Day-Lücke in Chrome geschlossen. Sie betraf die Visuals-Komponente des Browsers und erreichte als Risikoeinschätzung "hoch".

Gefunden auf 

Mit einer 22 Jahre alten DHCP-Option können Angreifer bewirken, dass Datenverkehr am VPN vorbeiläuft. Weder Nutzer noch VPN-Betreiber bekommen das mit.

Wer sich in einer nicht vertrauenswürdigen Netzwerkumgebung befindet, nutze ein VPN – so lautet ein viel zitiertes Sicherheitsmantra. Ein zweiköpfiges Forscherteam hat nun einen Weg entdeckt, Datenverkehr trotz VPN zu analysieren. Der Trick: Über einen Eingriff ins Routing beim Opfer leiten sie den Datenverkehr einfach am VPN vorbei. Unter Umständen können Angreifer so an unverschlüsselte Datenpakete ihrer Opfer kommen. Der Angriff funktioniert, wenn Opfer und Angreifer im selben lokalen Netz (LAN) sind, ist jedoch nur schwer zu entdecken. Nur Android ist von Haus aus nicht anfällig – andere Betriebssysteme benötigen zusätzliche Schutzmaßnahmen.

Betroffen von der Lücke namens "TunnelVision" sind alle , die die Forscher getestet haben – sie geben an, über 50 Hersteller über das Sicherheitsproblem informiert zu haben. Ansatzpunkt für den Angriff ist die 2002 eingeführte "Option 121" im Dynamic Host Configuration Protocol (DHCP), das die dynamische Vergabe von IP-Adressen regelt. Ein DHCP-Server kann Geräten neben ihrer IP-Adresse mittels dieser Option Routing-Informationen vorgeben, um den Datenverkehr in ein bestimmtes Zielnetz über eine andere als die Standard-Route zu senden.

Nutzt der Anwender – etwa in einem ungesicherten Hotel-WLAN – ein VPN, so werden alle Datenpakete zunächst verschlüsselt, bevor sie seinen Rechner in Richtung VPN-Gateway verlassen. Dieses entschlüsselt sie und leitet sie ihren tatsächlichen Empfängeradressen zu. Unter normalen Bedingungen kann ein Kontrahent im unsicheren WLAN zwar Pakete mitschnüffeln, die VPN-Verschlüsselung aber nicht knacken. Kontrolliert er jedoch den zuständigen DHCP-Server, kann er Endgeräten einfach befehlen, ihre Daten am VPN vorbeizuschicken. Dazu sendet er die DHCP-Option 121 mit einer entsprechenden Route – etwa, um alle DNS-Abfragen umzuleiten. Die VPN-eigene Verschlüsselung entfällt, die VPN-Verbindung bleibt jedoch bestehen, sodass der Nutzer vom Angriff nichts mitbekommt.

Der DHCP-Server steht normalerweise unter der Kontrolle des Systemadministrators, Dritte können ihn nicht manipulieren. Dennoch könnte ein Angreifer einen zweiten DHCP-Server ins LAN einschleusen – er muss jedoch den eigentlichen, "autoritativen" DHCP-Server mundtot machen. Am einfachsten ist wohl die Methode, bei diesem massenhaft IP-Adressen anzufragen, bis dessen Adresspool erschöpft ist. Der eingeschleuste DHCP-Server kann dann in die Bresche springen und selbst Adressen zuteilen. Hat er das Zielgerät einmal an sich gebunden, leitet er dessen Verkehr vor erfolgter VPN-Verschlüsselung um und kann fortan mitlesen.

Ist der Datenverkehr schon vor der Zuleitung ins VPN verschlüsselt, wie es beispielsweise beim Aufruf von Webseiten mittels https der Fall ist, bleibt diese Verschlüsselung bestehen; der Angreifer kann die Klartextdaten nicht lesen. Allerdings kann er feststellen, welche Ziele das Opfer besucht, was verheerende Folgen haben kann. Für Abruf oder Verbreitung .

Jeder kann DHCP spielen

Grundproblem bei Tunnelvision ist, dass es kein DHCPsec gibt. DHCP-Server authentifizieren sich nicht gegenüber ihren Clients, es gewinnt, wer dem Nutzer am schnellsten eine IP-Adresse zuteilt. Einen  hat 1997 der damalige Intel-Mitarbeiter Baiju V. Patel vorgeschlagen, doch ist daraus nichts geworden. Ein 2001 vorgeschlagenes  kennt zwar eine rudimentäre Form der DHCP-Authentifizierung, diese schützt jedoch nur gegen versehentliche Kollisionen mehrerer DHCP-Server und nicht gegen absichtliche Attacken.

Der Tunnelvision-Angriff gelingt selbst dann, wenn die VPN-Verbindung bereits besteht. Der Angreifer muss nur warten, bis das anzugreifende Endgerät die Zuordnung seiner IP-Adresse erneuern muss und an den DHCP-Server eine entsprechende Anfrage schickt. Leviathan Security hat das Problem mit Windows, Linux, iOS und MacOS nachgestellt – nur bei Android funktioniert der Angriff nicht, weil Android die DHCP-Option 121 ignoriert.

Abhilfe: Partitionieren, blockieren, ignorieren

Besonders leicht haben es Android-Nutzer: Da das mobile Betriebssystem die DHCP-Option 121 schlicht ignoriert, ist es nicht anfällig für TunnelVision. Nutzer anderer Betriebssysteme müssen jedoch Gegenmaßnahmen ergreifen, um nicht in die Falle zu laufen. Das Autorenteam von Leviathan Security schlägt Nutzern und VPN-Anbietern verschiedene Schritte vor.

Wer Wert auf Anonymität und Privatsphäre lege, solle Verbindungen zu nicht vertrauenswürdigen Netzen vermeiden, auf die Hotspot-Funktion seines Smartphones zurückgreifen oder eine VPN-Verbindung über eine virtuelle Maschine ohne "bridged" Netzwerkadapter aufbauen. VPN-Anbieter können auf zusätzliche technische Maßnahmen zurückgreifen, um ihre Kunden zu schützen.

So kennt Linux seit Kernel 2.6.24 (Jahrgang 2008) sogenannte network namespaces. Damit lässt sich das Netzwerk so partitionieren, dass der Tunnelvision-Angriff nicht mehr zur Offenlegung unverschlüsselten Datenverkehrs führt. Allerdings kann ein derart abgeschottetes Gerät dann auch nicht auf Ressourcen im LAN zugreifen.

Ansonsten mag es gelingen, die VPN-Verbindung über klassische Firewall-Regeln abzusichern, sodass nicht über das VPN laufende Datenpakete weggeschmissen werden. Auch das ist jedoch kein vollständiger Schutz, so die Entdeckerinnen: Mit einem statistischen Seitenkanalangriff sind trotzdem Rückschlüsse auf IP-Adressen möglich, die das Opfer ansteuert. Dafür muss der Angreifer jedoch den Datenverkehr abhören können, etwa in einem unverschlüsselten WLAN.

Ist das überhaupt eine ������������𾱳ٲ���ü�����?

Völlig neu ist die Entdeckung nicht. Der deutsche Hacker jomo wies bereits 2017 auf das Umleitungsverfahren mittels DHCP-Option 121 hin und warnte, dass es VPN-Datenverkehr kompromittiert.

Das Leviathan-Team, bestehend aus Lizzie Moratti und Dani Cronce, hat das Problem nun erstmals  (samt Proof of Concept Video,  und ). Zudem hat Leviathan die CVE-Nummer CVE-2024-3661 erwirkt (Common Vulnerabilities and Exposures).

Dabei geben die beiden Forscher zu, dass Tunnelvision nicht unbedingt als ������������𾱳ٲ���ü����� gesehen werden muss. Schließlich beruht der Angriff auf einer Option, die so funktioniert, wie sie designt worden ist. Dennoch sind sowohl VPN-Betreiber als auch Betriebssystementwickler und Systemadministratoren gefordert. Mehr denn je gilt, öffentliche WLAN-Hotspots zu meiden. Schließlich kann für einen erfolgreichen Angriff reichen, dass der Angreifer im selben Netzwerk ist.

Vor Veröffentlichung hat Leviathan Security mehrere Dutzend bekannte VPN-Anbieter informiert, auch mithilfe der Electronic Frontier Foundation (EFF) und der US-Cybersicherheitsbehörde CISA. Die Forscher fürchten, dass die Umleitung mit DHCP-Option 121 vielleicht schon seit 2002 praktiziert wird. Im nächsten Schritt planen die Forscherinnen, ihr Werkzeug "ArcaneTrickster" zu veröffentlichen, das Angriffe erheblich vereinfachen und so letzte Zweifler in der VPN-Industrie überzeugen soll.

Virtuelle private Netzwerke gelten Angreifern als lohnendes Ziel. So hatten sich gewiefte Cybergangster so  eingenistet, dass die CISA diese per Dekret vom Netz nehmen ließ. Wie die US-Behörden vermuten, stehen die Eindringlinge von .

Gefunden auf 

Derzeit gibt es verschiedene Schwachstellen in Citrix Xenserver und Hypervisor. Updates stehen bereits zur Verfügung und sollten so schnell wie möglich installiert werden. Durch die Lücken können Angreifer ganze Systeme übernehmen.

Aktuell  in den Produkten Xenserver und Hypervisor. Es stehen bereits Updates zur Verfügung, die Admins schnellstmöglich installieren sollten.

Die Sicherheitsmeldungen laufen unter den Kennungen -2023-46842, CVE-2024-2201 und CVE-2024-31142. Die identifizierten ������������𾱳ٲ���ü�����n ermöglichen es, dass bösartiger Code in einer Gast-VM Speicherinhalte anderer VMs auf demselben Host auslesen kann. Dabei betrifft CVE-2024-2201 ausschließlich Systeme mit Intel CPUs, während CVE-2024-31142 nur auf AMD CPUs anwendbar ist.

Zusätzlich wurde eine weitere , gekennzeichnet als CVE-2023-46842, entdeckt, die es ermöglicht, dass privilegierter bösartiger Code in einer Gast-VM den Host zum Absturz bringen kann. Diese Schwachstelle betrifft alle Deployment-Konfigurationen.

Citrix stellt Updates zur Verfügung

Citrix hat Updates und einen Hotfix für betroffene Versionen bereitgestellt. Nutzer von XenServer 8 sollten das Update aus den Kanälen Early Access oder Normal installieren, wie auf der Citrix-Website unter den Update-Anweisungen beschrieben. Für Nutzer des Citrix Hypervisor 8.2 CU1 LTSR steht ein Hotfix zur Verfügung, der von der Citrix Support-Seite heruntergeladen und installiert werden kann. Die Updates stehen auf der  zur Verfügung. Die Installation sollte schnellstmöglich erfolgen.

Gefunden auf 

Ein gutes  sollte mindestens 8 Zeichen lang sein, lautet oftmals die Empfehlung. Neue Untersuchungen zeigen jedoch: Die Zeit ist reif für mehr.

Passwörter mit einer Länge von mindestens 8 Zeichen gelten seit Jahren als sicher, sofern sie zugleich eine hohe Komplexität aufweisen. Ein  zeigt jedoch, dass sich 8-Zeichen-Passwörter je nach verwendetem Hashing-Algorithmus und verfügbarer GPU-Leistung inzwischen in einer überschaubaren Zeit knacken lassen.

Wer beispielsweise im Besitz einer Nvidia-Grafikkarte vom Typ RTX 4090 ist, kann ein zufällig generiertes 8-Zeichen-Passwort mit Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen innerhalb von nur 59 Minuten aus dem zugehörigen MD5-Hash rekonstruieren. Kommt als Hashing-Algorithmus stattdessen bcrypt (mit 32 Iterationen) zum Einsatz, so dauert der gleiche Vorgang deutlich längere 99 Jahre.

Das Problem dabei: Anwender wissen in der Regel nicht, welcher Algorithmus bei den genutzten Diensten genutzt wird. MD5 gilt zwar schon länger als unsicher, jedoch wird das Verfahren noch bei vielen Onlinediensten verwendet. Obendrein nutzt längst nicht jeder Anwender die maximal mögliche Passwortkomplexität, sofern diese nicht durch Richtlinien forciert wird.

Auch mit bcrypt kann es schneller gehen

Selbst wenn der sicherere bcrypt-Algorithmus zum Einsatz kommt, ist das keine Garantie dafür, dass sich das Passwort nicht innerhalb weniger Tage knacken lässt. Hive Systems bildet diesbezüglich einen Extremfall ab: Mit 10.000 A100-GPUs von Nvidia lässt sich der bcrypt-Hash eines 8-Zeichen-Passwortes mit hoher Komplexität demnach innerhalb von 5 Tagen zurückrechnen.

ür Personen, die viel Geld für entsprechende Rechenressourcen haben und sich viel von einem zu knackenden Passwort erhoffen, stellen 8 Zeichen also keine allzu große Hürde mehr dar. Mit nur 12 A100-GPUs dauert der gleiche Vorgang immerhin noch 12 Jahre. Die Forscher halten dies für angemessen, sofern Anwender ihre Passwörter zufällig generieren und hin und wieder ändern.

Menschen sind vorhersehbar

Hive Systems gibt jedoch zu bedenken, dass "Menschen ziemlich vorhersehbar sind" und häufig  erstellten. Daher sei eine Rekonstruktion in der Realität oftmals viel einfacher und schneller durchführbar. Die von den Sicherheitsexperten ermittelten Zeitangaben sind als Best-Case-Szenario zu verstehen.

Darüber hinaus gibt es weitere Faktoren, welche die Rechenzeit massiv verkürzen – beispielsweise wenn ein Passwort Wörterbucheinträge enthält oder schon mal in einem bekannten Datenleck auftauchte. In solchen Fällen lassen sich Passwörter unmittelbar knacken, ganz gleich wie lang oder komplex sie sind.

Das BSI empfiehlt  noch heute, dass "ein gutes Passwort" mindestens 8 Zeichen lang sein sollte. "Je länger, desto besser", heißt es jedoch ebenfalls. Die Untersuchungen von Hive Systems zeigen, dass es sich angesichts immer leistungsfähigerer GPUs inzwischen durchaus lohnen könnte, grundsätzlich auf längere Passwörter zu setzen. Viele Dienste  bereits .

Empfehlung

Das RHRZ der ����ֱ�� schlägt sogar eine Mindestlänge von 15 Zeichen in Erwägung: "Die einfachste Möglichkeit besteht darin, ein Kennwort zu verwenden, das mindestens 15 Zeichen lang ist. In diesem Fall speichert Windows einen LM-Hashwert, der nicht zum Authentifizieren des Benutzers verwendet werden kann."

Gefunden auf 

Weitere Infos zu LM-Hashwert unter 

Microsoft hat wichtige Sicherheitsupdates für unter anderem Bitlocker, Office und Windows Defender veröffentlicht. Zwei Lücken nutzen Angreifer bereits aus.

Wer Software von Microsoft nutzt, sollte sicherstellen, dass Windows Update aktiv ist und die aktuellen Sicherheitspatches installiert sind. Andernfalls sind Systeme verwundbar und Angreifer können PCs im schlimmsten Fall über Schadcode-Attacken vollständig kompromittieren.

Attacken auf Windows

Angreifer setzen derzeit an einer Schwachstelle (CVE-2024-29988 "hoch") in der Windows-Sicherheitsfunktion SmartScreen-Filter an. Damit kennzeichnet das System, ob heruntergeladene Dateien aus einer vertrauenswürdigen Quelle stammen (Mark-of-the-Web-Markierung, MoTW). Schlägt die Untersuchung Alarm, verhindert der Schutzmechanismus die Ausführung der Datei.

Genau diese Prüfung umgehen Angreifer derzeit in laufenden Attacken. Opfer wähnen sich aufgrund von SmartScreen-Filter in Sicherheit und vertrauen einer heruntergeladenen Datei, holen sich mit der Ausführung aber einen Trojaner auf den Computer. Dazu muss ein Angreifer Opfer aber immer noch dazu bringen, die mit Schadcode präparierte Datei zu öffnen. Attacken sind also nicht ohne Weiteres möglich. , sind davon aktuelle Windows- und Windows-Server-Versionen bedroht. .

Die zweite zurzeit ausgenutzte ������������𾱳ٲ���ü����� (CVE-2024-26234 "mittel") betrifft ebenfalls aktuelle Windows-Desktop- und Windows-Server-Ausgaben. Angreifer können bei diesen verwundbaren Systemen mit einer Proxy-Treiber-Spoofing-Attacke ansetzen. Konkrete Angriffsszenarien und Auswirkungen von Attacken führt Microsoft derzeit nicht aus.

Weitere Gefahren

Drei Lücken (CVE-2024-21322 "hoch", CVE-2024-21323 "hoch", CVE-2024-29053 "hoch") in Defender for IoT stuft Microsoft als kritisch ein. .

In Azure können Angreifer über eine Schwachstelle in der KI-Suche () unbefugt auf Informationen zugreifen. Durch eine Lücke in Azure CycleCloud () können sich Angreifer höhere Nutzerrechte verschaffen.

Weitere Schwachstellen führt Microsoft in seinem  auf.

Gefunden auf 

Der Open-Source Anbieter Red Hat hat am 29.03.2024 bekannt gegeben, dass in den Versionen 5.6.0 und 5.6.1 der "xz"-Tools und -Bibliotheken maliziöser Code entdeckt wurde, der es ermöglicht, die Authentifizierung in sshd über systemd zu umgehen. Der Schwachstelle wurde als CVE-2024-3094 veröffentlicht. 

Empfehlung und Maßnahmen:

Maßnahmen IT-Sicherheitsverantwortliche sollten die Nutzung von Fedora 41 und Fedora Rawhide unverzüglich stoppen. xz selbst sollte auf eine ältere, stabile Version wie 5.4.6 zurückgesetzt werden. SUSE hat ein Downgerade-Verfahren veröffentlicht.  Auch bei Verwendung anderer Distributionen wird empfohlen, das Upgrade auf die xz Versionen 5.6.x nicht vorzunehmen bzw. wieder auf die sicheren Versionen zurück zu gehen.

Gefunden auf .

ALERT: Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen

Der Angriff wurde offenbar von langer Hand geplant. Ein möglicherweise staatlicher Akteur versteckte eine Backdoor in der liblzma-Bibliothek.

Die Security-Community ist alarmiert: Wie ein Entwickler eher zufällig aufdeckte – er forschte nach der Ursache mysteriöser Leistungsprobleme bei SSH-Verbindungen –, steckt in der liblzma-Bibliothek eine Hintertür. Zwar gaben die großen Linux-Distributionen Entwarnung für ihre stabilen Versionen, in verschiedenen Linux-Varianten, Unstable-Versionen sowie in der Homebrew-Werkzeugsammlung für macOS steckte die Backdoor jedoch. Sie ist dort allerdings nicht unbedingt ausnutzbar.

Die Bibliothek "liblzma" gehört sicher nicht zu den bekanntesten Funktionssammlungen für offene Betriebssysteme – sie dient zum Verarbeiten gepackter Dateien im xz-Format. Dennoch ist sie ein untrennbarer Bestandteil jeder auf systemd basierenden Linux-Distribution, da der Systemdienst die Bibliothek verwendet. Auch nutzen verschiedene Paketformate wie .deb und Fedora-RPMs den xz-Packer zur Kompression der Paketdaten.

Wie der Entdecker Andres Freund herausgefunden hat, befindet sich die Hintertür ausschließlich in den Quellcode-Paketen für verschiedene liblzma-Versionen, ist im Git-Repository des Projekts also nicht zu finden. Was genau die Hintertür bewirkt und ob sie bereits aktiv von Angreifern ausgenutzt wird, ist zur Stunde noch unklar. Bekannt ist jedoch der Urheber, ein Entwickler namens "Jia Tan", der gemeinsam mit einigen anderen – möglicherweise gefälschten – Entwicklerkonten ein sehr aktiver Mitarbeiter des liblzma-Projekts war.

Die mutmaßliche Verschwörung übte im Juni 2022 starken Druck auf den Hauptentwickler von liblzma aus, das Projekt in "aktivere Hände" zu geben, was dann auch passierte. Im Februar dieses Jahres versteckte Jia Tan dann die gut getarnte Hintertür, die vermutlich die Authentifizierungsfunktion von OpenSSH schwächt oder außer Kraft setzt. Die Backdoor aktiviert sich nur dann, wenn sie den Programmnamen "/usr/sbin/sshd" erkennt. Zur Stunde gibt es noch keine vollständige Analyse des Backdoor-Codes, die Redaktion verfolgt die Analyse aber weiter. Auf Github gibt es eine . Auch eine CVE-ID für die Hintertür gibt es bereits: .

Die großen Linux-Distributionen ,  und  haben den schadhaften Code lediglich in ihren Test-Versionen wie etwa Debian Sid ausgeliefert und sich wieder auf sichere Versionen zurückgezogen. Fedora ruft sicherheitshalber jedoch auch Nutzer der Version 40 zum Update auf. Der macOS-Paketmanager Homebrew jedoch nutzte die trojanisierte Version der xz-Werkzeuge ebenfalls in verschiedenen Anwendungen – die Entwickler haben auch hier einen  vollzogen.

Kali, Arch und andere betroffen

Das Pentesting-Linux  und  warnen Nutzer ebenfalls vor Hintertüren in aktuellen Versionen ihrer Distribution und drängen auf zügige Updates. Ähnlich auch andere Distibutionen vor, wie beispielsweise Gentoo, das ein . Weitere Distributionen dürften folgen – Administratoren werden über das Osterwochenende die Entwicklung bei ihrer favorisierten Linux-Geschmacksrichtung im Auge behalten müssen. Vermutlich war die Hintertür in vielen dieser Fälle nicht ausnutzbar oder nicht einmal aktiv, weil dafür verschiedene Umstände zusammenkommen müssen. Dennoch sind Anwender gut beraten, verfügbare Updates schnellstmöglich einzuspielen, insbesondere, weil die Funktionsweise der Hintertür noch nicht vollständig verstanden ist. Der Finder der Hintertür hat  geschrieben, um eine potentiell anfällige liblzma-Version auf dem eigenen System zu finden. Es bietet zwar keine vollständige Sicherheit, jedoch einen ersten Anhaltspunkt.

Die Security-Szene ist derweil weiter in Alarmstimmung. Dass ein Unbekannter mithilfe möglicherweise gefälschter Spießgesellen die Kontrolle über ein Open-Source-Projekt übernehmen und Schadcode einschleusen kann, wirft ein Schlaglich auf die prekäre Situation vieler, vor allem kleinerer Projekte. Dass ein einzelner Projektbeteiligter die Verantwortung für den gesamten Programmcode trägt und das ehrenamtlich, ist keine ungewöhnliche, doch aber eine potenziell schädliche Situation.

(Anm. der Redaktion: Die Situation rund um die liblzma-Lücke entwickelt sich sehr schnell und ist aktuell sehr unübersichtlich. Wir werden diese Meldung im Laufe der nächsten Stunden aktualisieren um eine  ergänzen, sollten sich weitere Entwicklungen ergeben.)

Gefunden auf 

Malware, die Datendiebstahl im großen Stil betreibt ist nichts Ungewöhn­liches. Anhand eines Beispiels eines derzeit aktiven Datendiebs erläutern jetzt Sicherheitsforscher das Prinzip der Angreifer und warnen vor der Verbreitung.

Mit Malware-As-A-Service (MaaS) machen Cyber­kriminelle Kasse. Sie bieten Schadcode zur "Miete" an, der dann den PC eines Opfers aus­spion­ieren kann. Wie das  berichtet, ist nun wieder ein solches Netzwerk bei dem Sicherheits­dienst­leister . Es handelt sich dabei um einen so genannten Infostealer, also einem Datendieb namens Raccoon. Die Malware ist auch unter dem Namen Legion, Mohazo und Racealer aktiv.

Malware-As-A-Service

Das neue an diesen Schadprogrammen ist, dass sie als Malware-As-A-Service mit geringen Einstiegshürden vertreiben wird: Wer das Angebot findet braucht nur noch ein wenig Geld. Vorkenntnisse sind nicht erforderlich. Früher waren solche Tools dagegen allenfalls raffinierteren Angreifern vorbehalten, erläutert CyberArk. Jetzt können selbst Anfänger sich Datendiebe wie Raccoon kaufen, um an die sensiblen Daten einer Organisation oder eines beliebigen Ziels zu gelangen.

Raccoon ist dabei darauf spezialisiert, sensible Daten aus rund 60 Anwendungen auf einem Zielcomputer zu extrahieren. Dazu gehören populäre Webbrowser wie Google , der Internet Explorer oder , aber auch Nischen-Clients wie TorBro, Mustang oder Torch.

Verbreitung nimmt zu

Raccoon wurde dabei vor rund einem Jahr zum ersten Mal entdeckt, damals noch über russischsprachige Foren vertrieben. Jetzt findet man das Tool laut CyberArk auch im englischsprachigen Raum. Eine Analyse von CyberArk ergab, dass der Infostealer in C++ geschrieben ist und weit davon entfernt ist, ein komplexes Werkzeug zu sein. Es kann jedoch sensible und vertrauliche Informationen aus fast 60 Programmen (Browser, Krypto-Wallets, E-Mail- und FTP-Clients) stehlen. Dazu gehören Cookies, Verlaufhistorie und Autofill-Informationen.

Zu ihren Opfern kommt Raccoon unter anderem über Exploit-Kits und Phishing. Trotz der Einfachheit der Malware hat sie jedoch bereits Hunderttausende von Computern weltweit infiziert.

Anwendungen, die Raccoon bestiehlt:

• Browser:
• Google Chrome, Google Chrome (Chrome SxS), Chromium, Xpom, Comodo Dragon, Amigo, Orbitum, Bromium, Nichrome, RockMelt, 360Browser, Vivaldi, Opera, Sputnik, Kometa, Uran, QIP Surf, Epic Privacy, CocCoc, CentBrowser, 7Star, Elements, TorBro, Suhba, Safer Browser, Mustang, Superbird, Chedot, Torch
• , Microsoft Edge
• Firefox, WaterFox, SeaMonkey, PaleMoon
• Email-Clients:
• ThunderBird, Outlook, Foxmail
• Krypto-Wallets:
• Electrum, Ethereum, Exodus, Jaxx, Monero, Bither

Gefunden auf 

Microsoft hat bestätigt, dass die Sicherheitsupdates aus dem März Windows Server mit Active Directories lahmlegen können.

Wer einen Windows-Server betreibt und damit ein Active Directory verwaltet, hat nach dem Anwenden der Updates vom März-Patchday von Microsoft unter Umständen ein Problem. Der Server kann stehen bleiben und neu starten.

In den  schreiben Microsofts Entwickler, dass nach der Installation des März-Sicherheitsupdates  der Local Security Authority Subsystem Service (LSASS) Speicherlecks auf Domain-Controllern (DCs) haben kann. Dies lasse sich beobachten, sofern On-Premise- oder Cloud-basierte Active Directory Domain Controller Kerberos-Authentifizierungsanfragen verschicken.

Windows Server: Abstürze nach "extremen Speicherlecks"

Speicherlecks führen oftmals zu Performanceeinbußen. Die Entwickler erklären, nach "extremen Speicherlecks" könne der Dienst LSASS abstürzen, was einen ungeplanten Neustart des unterliegenden Domain-Controllers auslöse. Microsoft betont, dass das nicht auf Heimgeräten auftrete, sondern ausschließlich in Umgebungen in Organisationen, die die Windows Server-Plattform einsetzten.

Die gute Nachricht

Die Wurzel des Übels haben die Programmierer den Angaben zufolge aufgespürt. Sie arbeiten demnach an einer Lösung, die in den kommenden Tagen veröffentlicht werden soll.

Konkret betroffene Systeme sind Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 und Windows Server 2022 und diese sowohl im lokalen Netz als auch in der Cloud.

Bereits im Januar hatte Microsoft Probleme mit den Windows-Updates zum Patchday. Sie ließen sich . Das Unternehmen gab dann Tipps, wie sich die Aktualisierung doch erfolgreich anwenden ließ.

Gefunden auf