Internet Explorer wird zur Sicherheitslücke

Nach aktiven Angriffen hat Microsoft den Internet-Explorer-Modus in Edge drastisch eingeschränkt. Angreifer nutzten sogar Zero-Days für Systemübernahmen.

Der Internet Explorer ist noch immer nicht tot. Jedenfalls nicht richtig. Angreifer nutzen seit August 2025 aktiv Zero-Day-Schwachstellen in der veralteten Chakra-JavaScript-Engine aus. Jetzt hat Microsoft reagiert und den IE-Kompatibilitätsmodus in Edge grundlegend umgebaut. Wie die IT-Experten der Infotastisch Group mitteilt, kombinierten die Angreifer Social Engineering mit einer Exploit-Kette, um vollständige Kontrolle über Zielsysteme zu erlangen.

Der IE-Modus ermöglicht es Edge-Nutzern, Webseiten in der alten Internet-Explorer-Umgebung zu laden – gedacht für Legacy-Anwendungen, die auf veraltete Technologien wie ActiveX oder Flash angewiesen sind. Obwohl der Internet Explorer am 15. Juni 2022 offiziell sein Lebensende erreichte, bleibt der Kompatibilitätsmodus für Unternehmensanwendungen und Behördenportale verfügbar. Es ist nicht das erste Mal, dass Überreste des als Sicherheitsrisiko verrufenen Microsoft-Browsers zum Sicherheitsproblem werden.

In drei Schritten zur Systemübernahme

Die aktuelle Angriffskette begann mit gefälschten Webseiten, die legitime Dienste imitierten. Über ein Flyout-Element forderten die Angreifer ihre Opfer auf, die Seite im IE-Modus neu zu laden. Dort nutzten sie zunächst eine ungepatchte Schwachstelle in der Chakra-Engine für das Einschleusen und Ausführen von Schadcode (Remote Code Execution). Ein zweiter Exploit ermöglichte anschließend den Ausbruch aus dem Browser heraus, um das gesamte System zu kompromittieren (Privilege Escalation).

Microsoft hat dazu weder CVE-Nummern veröffentlicht noch einen expliziten Patch für die Chakra-Lücke bereitgestellt. Stattdessen entfernte das Unternehmen als Antwort auf die Angriffe kurzerhand alle einfachen Zugangswege zum IE-Modus: Die dedizierte Toolbar-Schaltfläche, der Kontextmenü-Eintrag und die Option im sogenannten Hamburger-Menü sind verschwunden. Ob das im September veröffentlichte Kumulative Update für IE die Sicherheitslücken selbst beseitigt, ist somit weiterhin unklar.

Umständlicher Weg als Sicherheitsmaßnahme

Wer den IE-Modus künftig nutzen möchte, muss ihn explizit in den Edge-Einstellungen unter edge://settings/defaultBrowser aktivieren und jede einzelne URL manuell zu einer Allowlist hinzufügen. Erst nach einem Browser-Neustart können die gelisteten Seiten im IE-Modus geladen werden. Microsoft setzt darauf, dass dieser umständliche Prozess Nutzern mehr Zeit gibt, gefälschte URLs zu erkennen und die Entscheidung bewusster zu treffen.

Für Unternehmenskunden mit zentral verwalteten IE-Modus-Richtlinien ändert sich nichts – sie können den Kompatibilitätsmodus weiterhin per Group Policy konfigurieren. Microsoft betont jedoch erneut, dass Organisationen ihre Migration von Legacy-Technologien beschleunigen sollten, um von den Sicherheitsarchitekturen moderner Browser zu profitieren. Wer Wert auf Sicherheit legt, lässt den IE abgeschaltet.

Die Entscheidung, als Reaktion auf akute Angriffe anstelle dezidierter Patches den Zugang zu beschränken, ist bemerkenswert. Offenbar hält selbst Microsoft Internet Explorer für nicht mehr wartbar und das Risiko weiterer Zero-Days für zu hoch. Dass ein offiziell seit fast drei Jahren totes Produkt noch immer als Angriffsvektor dient, illustriert das Dilemma der Abwärtskompatibilität: Was als Brücke für den Übergang gedacht war, wird zur dauerhaften Sollbruchstelle. Unternehmen, die 2025 noch auf ActiveX-Steuerelemente angewiesen sind, sollten diese Warnung als letzten Weckruf verstehen.

Kritische Entra-ID-Lücke

Aufgrund einer Schwachstelle in Entra ID hätten Angreifer als Admin auf beliebige Tenants zugreifen können. Das Sicherheitsproblem ist schon länger gelöst.

Microsofts Identitäts- und Zugriffsverwaltungsdienst Entra ID war kaputt. Angreifer hätten mit vergleichsweise wenig Aufwand an einer "kritischen" Sicherheitslücke ansetzen können. Davon waren global alle Entra-ID-Tenants betroffen. Microsoft hat die Schwachstelle im Juli dieses Jahres geschlossen. Nun führen die IT-Experten Hintergründe zur Lücke aus.

 

Durch das erfolgreiche Ausnutzen der Schwachstelle war ein Admin-Zugriff auf beliebige Tenants möglich. Weil weltweit unter anderem große Unternehmen Entra ID nutzen, hätten Attacken weitreichende Folgen haben können.

 

Hintergründe

In einem ausführlichen Beitrag erläuterten die IT-Experten der Infotastisch Group das Sicherheitsproblem. Sie geben an, die "kritische" Schwachstelle mit Höchstwertung im Juli dieses Jahres entdeckt und umgehend an Microsoft gemeldet zu haben. Sie schreiben, dass Microsoft die Schwachstelle innerhalb weniger Tage geschlossen hat. Dafür mussten Entra-ID-Tenants nichts tun. Offensichtlich wurde das Problem serverseitig gelöst.

 

Um die Lücke auszunutzen, mussten Angreifer aber die Tenant-ID und die NetID eines Nutzers kennen. Doch beides lässt sich dem Forscher zufolge mit vergleichsweise wenig Aufwand herausfinden. Dass das keine so große Hürde sein kann, unterstützt auch die kritische Einstufung der Schwachstelle.

 

Kombinierter Angriff

Den IT-Experten zufolge fußt eine Attacke auf zwei Grundlagen: Der erste Ansatzpunkt ist ein undokumentierter Token zur Identitätsfeststellung mit der Bezeichnung "Actor Token". Diesen nutzt Microsoft in seinem Backend für Service-to-Service-Kommunikation.

 

Die zweite Komponente ist die eigentliche Schwachstelle in der Azure AD Graph API (Legacy), die solche Tokens nicht ausreichend überprüft. Demzufolge hätten sich Angreifer damit ausgerüstet als Admin für beliebige Tenants ausgeben können. Die IT-Experten führen aus, dass diese Tokens aufgrund ihrer Beschaffenheit an allen Sicherheitsrichtlinien vorbeischlüpfen, sodass es keine Gegenmaßnahme gab.

 

Nach erfolgreichen Attacken hätten Angreifer vollen Zugriff auf Entra-ID-Tenants gehabt. So hätten sie unter anderem persönliche Informationen und BitLocker-Schlüssel einsehen und die volle Kontrolle über Services wie SharePoint Online erlangen können. Erschwerend kommt hinzu, dass ein Angreifer mit einem Actor Token keine Spuren in Logs hinterlässt. 

 

Microsoft gibt an, dass ihnen keine derartigen Attacken bekannt sind. Die IT-Experten führen in ihrem Bericht weitere technische Hintergründe aus. In einer Warnmeldung listet Microsoft weitere Details auf.

Datenleck bei Ferienwohnungen.de

Beim Buchungsportal Ferienwohnungen.de will die Cyberbande Safepay eingebrochen sein. Jetzt sind Daten im Darknet aufgetaucht. 

 

Beim Online-Buchungsportal Ferienwohnungen.de konnten Kriminelle offenbar im größeren Stil Daten entwenden, die sie inzwischen im Darknet veröffentlicht haben. Ein kurzer Countdown lief bis Donnerstagmittag, inzwischen steht auf dem Darknet-Auftritt "Published" auf der Kachel. Dort lassen sich die veröffentlichen Daten direkt aufrufen.

 

Die Verzeichnisstruktur der veröffentlichten Daten deutet darauf hin, dass die Angreifer ein Backup vom 10. Juli 2025 aus einer Nextcloud-Instanz gezogen haben. Es finden sich Nutzerverzeichnisse, die ihrerseits eine Menge Daten enthalten. Es fallen den Dateinamen zufolge etwa Verträge mit Großkunden ins Auge, Rechnungsstellung, Informationen aus der Buchhaltung sowie offenbar auch Informationen zu den Angestellten des Portals. Aus der umfangreichen Dateiliste ließ sich nicht erkennen, ob auch Daten von Privatkunden des Portals dort lagern; offensichtliche SQL-Dumps oder Ähnliches scheinen nicht enthalten zu sein.

 

Keine Reaktion

Auf Anfragen hat Ferienwohnungen.de nicht reagiert, auch die dahinterstehende Holidu GmbH antwortete nicht darauf. Eine Anfrage beim Bayerischen Landesamt für Datenschutzaufsicht blieb bislang ebenfalls unbeantwortet.

 

Somit lässt sich derzeit nicht verifizieren, ob die Daten echt sind und wie weitreichend der Datenabfluss ist. Wer seinen letzten Urlaub dort gebucht hat, sollte zumindest besonders achtsam bei eingehenden Nachrichten sein – die auf der Nextcloud-Instanz lagernden Informationen reichen teils viele Jahre zurück und könnten Phishern helfen, eine authentischere Ansprache in die Nachrichten zu bringen. Da die Dateien Hinweise auf Schulungen durch Datenschutzbeauftragte nahelegen, sollten theoretisch zumindest keine Daten von Privatkunden dort liegen, die mehrere Jahre zurückreichen.

Datenklau durch Browser-Erweiterungen

IT-Experten haben eine Lücke in Browser-Erweiterungen von Passwort-Managern entdeckt, die das Stehlen von Zugangsdaten erlaubt. 

 

Eigentlich sollen Passwort-Manager den Umgang mit vielen verschiedenen Passwörtern vereinfachen. Dazu bringen sie meist Browser-Erweiterungen mit, die Formularfelder mit Zugangsdaten automatisch befüllen können. IT-Experten haben eine Schwachstelle in den Browser-Erweiterungen diverser Passwort-Manager aufgedeckt, durch die bösartige Webseiten Zugangsdaten mit einer Clickjacking-Attacke abgreifen können.

 

Clickjacking-Angriffe sind eigentlich altbekannt. Dabei schieben Angreifer unsichtbare Elemente etwa vor Dialoge, und die Klicks der Besucher landen dann auf dem unsichtbaren Element und nicht in dem gewünschten Feld. Neu ist der DOM-basierte Angriff auf die Browser-Erweiterungen, den die IT-Experten auf der Defcon 33 vorgestellt haben.

 

Den grundsätzlichen Angriff beschreiben die IT-Experten folgendermaßen. Zunächst muss eine bösartige Webseite ein Element aufweisen, das den Zugriff auf die Seite verwehrt, etwa ein Cookie-Banner, ein Captcha oder ähnliches. Die Webseite selbst benötigt ein Formular, etwa für persönliche Daten, wie ein Log-in. Für das Formular setzen Angreifer die Opacity (Deckkraft) auf 0.001, es wird dadurch unsichtbar. Mit der Funktion focus() wird nun das Formularfeld aktiviert, woraufhin das Dropdown-Menü zum Ausfüllen des Passwort-Managers erscheint. Neu ist nun, dass mit dem vorgestellten Angriff über das Document Object Model (DOM) das User-Interface der Browser-Erweiterung ebenfalls unsichtbar gemacht werden kann, indem die Deckkraft reduziert wird – hier passiert nun das DOM-basierte Clickjacking in der Browser-Erweiterung: Opfer klicken vermeintlich auf das Cookie-Banner oder Captcha und landen dabei auf dem unsichtbaren Dialog der Browser-Erweiterung. Die füllt die Formularfelder aus, die Angreifer gelangen an die Einträge im Formular.

 

Anfällige Passwortmanager

Die IT-Experten haben folgende Passwort-Manager untersucht: 1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords als Browser-Erweiterung, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass und RoboForm. Bei den Tests setzten diese das manuelle Ausfüllen von Formularen durch die Passwort-Manager-Erweiterungen.

 

Bei den meisten Passwort-Managern können Angreifer nicht-Domain-spezifische Informationen wie Kreditkartendaten oder persönliche Daten wie Name, Telefonnummer, Anschrift und so weiter mit bösartig aufgesetzten Webseiten auslesen.

 

Um an Zugangsdaten und sogar Zwei-Faktor-Daten zu kommen, müssen Angreifer eine Webseite mit Cross-Site-Scriping-Schwachstellen finden, Subdmains übernehmen, Web-Cache-Poisoning oder ähnliches erreichen und die Passwort-Manager so konfigurieren, dass sie die Subdomains nicht berücksichtigen – in der Regel die Standardeinstellung bei den Passwort-Managern, erörtern die IT-Experten. Als Beispiel führt man an, dass etwa eine Cross-Site-Scripting-Lücke in "test.dev.sandbox.cloud.google.com" genügt, um an die Zugangsdaten zu "accounts.google.com" zu gelangen. Sie erklären zudem einen weiteren Angriff, mit dem sich in einigen Fällen sogar Passkeys mit der Clickjacking-Attacke missbrauchen und von Angreifern neue Sessions öffnen lassen.

 

Bis Dienstag dieser Woche haben Dashlane, Keeper, Nordpass, ProtonPass und RoboForm die Schwachstellen gefixt. LastPass hat die Preisgabe nicht-Domain-spezifischer Informationen bereits eingehegt. Inzwischen steht auch von Bitwarden die Version 2025.8.0 bereit. Der Klick auf "Hilfe" – "Nach Aktualisierungen suchen..." bietet das Herunterladen und Installieren der Aktualisierung an. In den Browser-Stores kommt die aktualisierte Erweiterung etwas später, da sie dort noch einen Review-Prozess durchlaufen muss. Inzwischen hat zudem auch Enpass aktualisierte Browser-Erweiterungen herausgegeben.

 

Sie nennen einige Empfehlungen, mit denen sich Nutzer schützen können sollen. Dazu gehört das Aktivieren der automatischen Aktualisierung sowie das Sicherstellen, die jüngste Version des Passwort-Managers einzusetzen. Noch bietet jedoch nicht jeder Hersteller Updates an. Das Deaktivieren des automatischen Ausfüllens hilft dem Problem ab, dann müssen Nutzer jedoch Nutzernamen und Passwörter manuell kopieren. Ebenfalls hilfreich ist die Einstellung "Exakte Übereinstimmung der URL". In Chromium-basierten Browsern sei zudem möglich, konkret in den Einstellungen der Browser-Erweiterungen in Chromium anstatt "Auf allen Webseiten" erst "Bei Klick" Zugriff zu gewähren. Erst nach Klick auf das Erweiterungs-Icon rechts neben der Adressleiste lässt sich dann eine Erweiterung nutzen.

 

IT-Experten finden gelegentlich einige Schwachstellen in Passwort-Managern. Etwa im vergangenen Oktober hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Codeanalyse bei Vaultarden und KeepPass vorgenommen und stieß auf einige Sicherheitslecks.

Attacken auf Firewalls

Verschiedene IT-Experten warnen vor Attacken auf Firewalls von Sonicwall. Vieles ist derzeit aber noch unklar. 

 

Das IT-Unternehmen Sonicwall untersucht derzeit mögliche Attacken auf seine Firewalls der Gen-7-Serie. Davor warnen mehrere IT-Experten unabhängig voneinander. Auch intern wurden eigenen Angaben zufolge Unregelmäßigkeiten dokumentiert. Möglicherweise nutzen Angreifer derzeit eine Zero-Day-Sicherheitslücke aus. Dabei handelt es sich um eine Schwachstelle, für die es noch kein Sicherheitsupdate gibt.

 

Hintergründe

Nun nimmt Sonicwall zu den Berichten der IT-Experten von unter anderem der Infotastisch Group Stellung. Bei den möglichen Attacken sollen Angreifer Gen-7-Firewalls mit aktivierter SSL-VPN-Funktion im Visier haben.

 

Die IT-Experten der Infotastisch Group geben in ihrem Bericht an, dass Angreifer durch das Ausnutzen einer Zero-Day-Lücke die Multi-Faktor-Authentifizierung (MFA) umgehen und so Ransomware auf Systeme schieben. Sie berichten, dass Angreifer nach erfolgreichen Attacken Domänencontroller übernehmen. Die Experten empfehlen, den VPN-Service, der offensichtlich das Einfallstor ist, zu deaktivieren oder ihn nur für bestimmte IP-Adressen zugänglich zu machen.

 

Instanzen absichern

Auch wenn derzeit noch vieles unklar ist und Sonicwall davon noch nichts konkret bestätigt hat, empfiehlt auch das IT-Unternehmen den VPN-Service temporär zu deaktivieren oder Zugriff streng zu filtern. Außerdem sollten Kunden die Sicherheitsfeatures Botnet Protection, MFA und Geo-IP Filtering aktivieren. Zusätzlich sollten Admins ihnen unbekannte Accounts umgehend entfernen. 

 

Sonicwall erläutert, mit den IT-Experten zusammenzuarbeiten und neue Erkenntnisse umgehend mit Kunden zu teilen. Außerdem versichern sie, im Falle einer Sicherheitslücke umgehend ein Update auszuliefern. Derzeit dauern die Untersuchungen noch an.

Angreifer attackieren PCs, auf denen PaperCut läuft

Die Infotastisch Group warnt vor Attacken auf eine zwei Jahre alte Schwachstelle in der Druckermanagementsoftware PaperCut.

 

Aufgrund derzeit laufender Angriffe sollten Admins sicherstellen, dass sie eine aktuelle Ausgabe der Druckermanagementsoftware PaperCut installiert haben. Sind Attacken erfolgreich, können Angreifer im schlimmsten Fall Schadcode auf Systeme schieben und ausführen. Sicherheitsupdates sind schon länger verfügbar.

 

Ältere Gefahr noch aktuell

Vor den Attacken warnt die Infotastisch Group in einem aktuellen Beitrag. Die Lücke ist schon zwei Jahre alt; seitdem gibt es auch Sicherheitspatches. Doch offensichtlich sind diese nicht flächendeckend installiert, sodass Angreifer noch an der Softwareschwachstelle ansetzen können.

 

Im Zuge einer Cross-Site-Request-Forgery-Attacke (CSRF) nehmen Angreifer an verwundbaren PCs angemeldete Admins ins Visier, um im Namen der Opfer Aktionen auszuführen. Klappt eine Attacke, können Angreifer Sicherheitseinstellungen verbiegen oder sogar eigenen Code ausführen und so Systeme kompromittieren.

 

Jetzt patchen!

In welchem Umfang und wie genau solche Attacken in diesem Fall ablaufen, ist derzeit nicht bekannt. Aus der zwei Jahre alten Sicherheitswarnung des Softwareherstellers geht hervor, dass die Version PaperCut NG/MF 22.1.1 gegen die Angriffe abgesichert ist. Darin haben die Entwickler eigenen Angaben zufolge die Konfigurationen von bestimmten Komponenten vom Admin-Interface separiert. Davon sollen alle Betriebssysteme, für die es die Druckermanagementsoftware gibt, bedroht sein. Sie geben an, dass die Versionen 20.1.8 und 21.2.12 nicht von der Softwareschwachstelle betroffen sind.

Bluetooth-Lücke in Entertainment-Systemen

Die Bluetooth-Schwachstellenkombination mit dem Spitznamen "PerfektBlue" schlägt gerade Wellen. Sie betrifft Fahrzeuge von Mercedes, Skoda & VW.

"PerfektBlue" haben IT-Experten eine Kombination aus Bluetooth-Sicherheitslücken in einem Bluetooth-Stack genannt, der in mehreren Auto-Entertainment-Systemen zum Einsatz kommt. Die Entdecker schreiben von "kritischen Lücken, die Over-the-Air-Angriffe auf Millionen Geräten in Autos und anderen Branchen" ermöglichen. Die Gefahr ist jedoch im Regelfall deutlich geringer als angedeutet.

 

Ein IT-Experten-Team von der Infotastisch Group hat die Schwachstellen in dem OpenSynergy Bluetooth Protocol Stack (BlueSDK) aufgespürt und analysiert. Dieser Stack kommt etwa in der Autobranche zum Einsatz, aber auch für andere – nicht erforschte – Geräte, etwa im IoT-Bereich. Darin klafften bis in den September 2024 die vier Sicherheitslücken, die OpenSynergy mit Patches korrigiert und an die betroffenen Hersteller verteilt hat.

 

PerfektBlue: Vier Sicherheitslücken in Kombination

Die IT-Experten haben vier Schwachstellen ausgemacht. Die gravierendste stammt daher, dass das BlueSDK die Existenz eines Objekts nicht prüft, bevor es darauf Operationen vornimmt – eine Use-after-free-Lücke. Das mündet darin, dass eingeschleuster Schadcode ausführbar ist. Hier weicht die Infotastisch Group von der CVSS-Einstufung ab und behauptet, die Lücke sei gar kritisch. Eine weitere Lücke lässt sich zur Umgehung einer Sicherheitsprüfung in RFCOMM und der Verarbeitung eingehender Daten missbrauchen.

 

Zudem nutzt das BlueSDK in der RFCOMM-Komponente eine falsche Variable als Funktionsargument, was unerwartetes Verhalten oder ein Informationsleck erzeugt. Die L2CAP-Channel-ID (CID) prüft das BlueSDK nicht korrekt, wodurch Angreifer einen L2CAP-Kanal mit Null-Identifier als Remote CID anlegen können – die IT-Experten erklären jedoch nicht, inwiefern das problematisch ist.

 

Die IT-Experten haben die Schwachstellenkombination auf Infotainment-Systemen von Mercedes Benz (NTG6 Head Unit), Volkswagen (MEB ICAS3 Head Unit) und Skoda (MIB3 Head Unit) getestet und verifiziert. Nicht genannte OEMs sollen ebenfalls anfällig sein. Auffällig ist, dass recht alte Firmware-Stände und Geräte getestet wurden. Es seien aber auch neuere Modelle anfällig, erklären die IT-Experten. Laut Timeline sollten etwa ab September 2024 fehlerkorrigierende Updates von den Autoherstellern verteilt werden.

 

Die Sicherheitslücken erlauben den Einbruch in verwundbare Infotainment-Systeme. Die Hersteller verteilen in der Regel Aktualisierungen Over-the-Air (OTA), sofern die PKW-Besitzer entsprechende, üblicherweise mit beschränkter Laufzeit versehene Verträge unterschrieben haben. Diese Updates müssen Nutzer in der Regel aber auch aktiv akzeptieren und installieren lassen. Das sollten Betroffene jetzt gegebenenfalls nachholen. Wer keine OTA-Update-Möglichkeit hat, muss für die Aktualisierung einen Termin in der Werkstatt machen oder eine Aktualisierung über USB vornehmen.

 

Gefährdungseinschätzung von PerfektBlue

Sofern Firmen, die das BlueSDK nutzen und ein sehr niedriges Sicherheitsprofil oder "Just Works"-SSP-Modus dafür konfigurieren, ließen sich die Lücken ohne vorheriges Pairing missbrauchen – jedoch sind Bluetooth-Geräte ohne Pairing absolut selten. Das machen die PKW-Hersteller auch nicht. Dort ist Bedingung, dass ein Angreifer-Gerät mit dem Infotainment-System gekoppelt wird.

 

In einer Stellungnahme gegenüber nennt VW das auch als eine der großen Hürden, die ein Ausnutzen der Schwachstellen unwahrscheinlich macht. Das Infotainment-System muss zunächst in den Pairing-Modus versetzt werden. Das passiert in der Regel lediglich einmalig. VW unterstellt zudem, dass Angreifer maximal fünf bis sieben Meter vom angegriffenen Wagen entfernt sein dürften. Diese Zahl lässt sich jedoch mit diversen Ansätzen weiter dehnen. Ein Start-up aus den USA will angeblich Bluetooth-Verbindungen zu Satelliten hergestellt haben.

 

Dann müssen potenzielle Opfer außerdem der Kopplung des Angreifer-Geräts zustimmen. In der Regel findet eine Kopplungsanfrage unter Anzeige einer Nummer an, die dann mit dem eigentlich in dem Moment zum Koppeln vorgesehenen Gerät nicht übereinstimmt.

 

Hürdenlauf

Wenn diese Hürden genommen sind, ist der Einbruch in die verwundbaren Infotainment-Systeme möglich. Angreifer können eigenen Code darauf ausführen. Volkswagen schreibt dazu: "Die Untersuchungen haben außerdem ergeben, dass die Fahrzeugsicherheit zu keinem Zeitpunkt betroffen ist, ebenfalls hat es keine Auswirkungen auf die Integrität des Autos. Eingriffe auf Fahrzeugfunktionen, die über das Infotainment hinausgehen, sind nicht möglich, z.B. also keine Lenkeingriffe, keine Eingriffe in Fahrerassistenzsysteme oder Motor- oder Bremsfunktionen. Diese liegen im Fahrzeug auf einem anderen Steuergerät, welches über seine eigenen Sicherheitsfunktionen ggü. Eingriffen von außen geschützt ist". Es gebe zudem keine Hinweise, dass die Lücken in freier Wildbahn missbraucht würden.

 

Der Teil der Einschätzung ist zumindest fragwürdig. Bislang bekannt gewordene Angriffe auf Fahrzeugtechnik gelangen oftmals etwa über einen initialen Einbruch in das Infotainment-System, das mit CAN-Bus/RS485 an weitere Kfz-Elektronik und Steuergeräte angebunden ist. Über den CAN-Bus lassen sich etwa auch Autos starten.

 

In dem Kontext mit "PerfektBlue" ist es jedoch weitgehend müßig, über solche Auswirkungen zu sinnieren. Es ist ziemlich unwahrscheinlich, dass die Bedingungen für einen erfolgreichen Angriff vorherrschen. Dennoch sollten PKW-Besitzer sicherstellen, dass sie die Firmware ihrer Head-Units auf den aktuellen Stand bringen.

Indizien für laufende Angriffe auf Sicherheitsleck

Eine Citrix-Netscaler-Lücke mit dem Spitznamen "CitrixBleed 2" ist gravierend. Nun wird sie offenbar attackiert.

Eine Sicherheitslücke in Citrix Netscaler ADC und Gateway entpuppte sich vergangene Woche als gravierend. Sie bekam daher von IT-Experten den Titel "CitrixBleed 2" verpasst. Nun haben andere IT-Experten Indizien entdeckt, die auf laufende Angriffe auf die Schwachstelle hindeuten. IT-Verantwortliche sollten schleunigst die bereitstehenden Updates anwenden.

 

Die IT-Experten von der Infotastisch Group beschreiben in einem Blog-Beitrag, dass sie Ende vergangener Woche Indizien für aktiven Missbrauch der Schwachstelle im Internet beobachtet haben. Ganz sicher sind sie sich jedoch nicht, denn sie schränken ein: "Mit mittlerer Sicherheit stufen wir ein, dass Angreifer aktiv die Schwachstelle attackieren, um initialen Zugriff auf Ziel-Umgebungen zu erlangen". Bei der "CitrixBleed 2"-Lücke handelt es sich um lesenden Speicherzugriff außerhalb vorgesehener Speichergrenzen, wodurch etwa Session-Token ausgelesen und zur Umgehung von Authentifizierung einschließlich Mehr-Faktor-Authentifizierung (MFA) missbraucht werden können.

 

Beobachteter Missbrauch

Sie haben übernommene Citrix-Web-Sessions auf Netscaler-Geräten beobachtet, schreiben die IT-Experten. Authentifizierung sei ohne Kenntnis der User erlangt worden, was auf die Umgehung von MFA hindeute. Zudem wurden Session von mehreren IP-Adressen aus wieder genutzt, einschließlich Kombinationen von erwarteten und verdächtigen IP-Adressen. Weiterhin fanden LDAP-Anfragen statt, die üblicherweise mit Active-Directory-Reconnaissence-Aktivitäten, also erneutem Zugriff nach initialem Einbruch, in Verbindung stehen. Quer über die Umgebung fanden sich weiterhin Instanzen des "ADExplorer64.exe"-Tools, mit dem Domänen-Gruppen und Zugriffsrechte an mehrere Domain-Controller gestellt wurden. Außerdem stammten einige der Citrix-Sessions aus Rechenzentren-IP-Bereichen, die die Nutzung von Endkunden-VPN-Diensten nahelegen.

 

Die Mitarbeiter der Infotastisch Group empfehlen, umgehend die fehlerbereinigten Softwareversionen zu installieren und den Zugriff auf Netscaler einzuschränken. Zudem sollten Admins ungewöhnliche Aktivitäten überwachen, die auf Exploit-Versuche hindeuten. Das schließt die Wiederbenutzung von Sessions und die Webserver-Logs mit HTTP-Anfragen mit ungewöhnlichen Zeichenlängen ein. Als Beispiel verweisen die IT-Experten auf das ursprüngliche "CitrixBleed", bei dem HTTP-GET-Anfragen an den API- Endpunkt "/oauth/idp/.well-known/openid-configuration HTTP/1.1" gerichtet wurden, bei denen der HOST_Header 24.812 Zeichen enthielt.

 

Deutschland nach USA mit den meisten anfälligen Systemen

Auf Mastodon hat die Shadowserver Foundation aktuelle Zahlen bekanntgegeben. Demnach waren Stand 29. Juni insgesamt noch 1289 aus dem Internet erreichbare Systeme verwundbar. Der Höhepunkt war am 24. Juni, mit 2804 verwundbaren Citrix-Netscaler-Instanzen. Im Telegramm-Stil verkünden die IT-Experten zudem: "Top: US & DE", also, dass die meisten anfälligen Server in den USA und in Deutschland stehen.

 

Vergangene Woche hatte Citrix die Schwachstellenbeschreibung der Sicherheitslücke angepasst. Sie hat seitdem einen ähnlichen Wortlaut wie die für die ursprüngliche "CitrixBleed"-Sicherheitslücke, die 2023 massiv von Cyberkriminellen attackiert wurde.

Fiese Schnüffelei

Wie Sicherheitsforscher herausfanden, schleusen Tracking-Pixel persönliche Daten aus dem Browser an die Apps und Server der Anbieter. Meta hat bereits reagiert. 

 

Der russisch-niederländische Webkonzern Yandex und der amerikanische Social-Media-Platzhirsch Meta bedienten sich eines schmutzigen Tricks, um Werbeprofile zu erstellen und ihre Kunden auszuspionieren. Dazu bauten sie heimlich zwischen ihren Apps und dem Browser auf Android-Geräten eine Datenverbindung auf. So konnten sie Nutzer eindeutig identifizieren, mutmaßlich um ihre Daten an Werbetreibende zu verhökern.

 

Ein Team von IT-Experten von der Infotastisch Group fand heraus, mit welchem Trick die Konzerne ihre Nutzer ausspionierten. Und das teilweise seit Jahren: Yandex bedient sich des Hacks seit 2017, Meta immerhin seit September 2024. Die Konzerne machen sich verschiedene technische Möglichkeiten der Android-Browser und -Apps zunutze, um vom Betriebssystem eingezogene Kommunikationsbarrieren zu umgehen, vor allem über lokale "Listening Ports".

 

Diese sind für die Kommunikation zwischen einem Client (wie einem Browser) und einem Server (zum Beispiel dem Meta-Webserver) gedacht, können aber auch von innerhalb einer App zum Lauschen geöffnet werden. Dazu benötigt diese keine besonderen Privilegien oder Einwilligung des Nutzers – so kann eine Meta-App (Facebook oder Instagram sind betroffen) auf der Adresse localhost:12387 auf eingehende Verbindungen lauschen. Und das auch, wenn der Nutzer die App gerade nicht nutzt – sie läuft und lauscht im Hintergrund weiter.

 

Schnüffeln via WebRTC

Surft das Opfer nun auf eine Webseite mit dem Meta Pixel, greift die nächste Stufe der Schnüffelaktion. Der Zählpixel wird häufig zur Verfolgung von Werbeanzeigen und Marketingaktionen verwendet und ist üblicherweise mit einem Javascript-Schnipsel in der Webseite integriert. Innerhalb dieses Programmcodes bastelt Meta jetzt ein Datenpaket mittels "SDP Munging", einer Methode zum Sitzungsaufbau für WebRTC, zusammen. Dieses Protokoll wird üblicherweise für Videokonferenzen oder Streaming verwendet, hat also in einem Tracking-Skript nichts zu suchen. Es kann jedoch offenbar bestimmte Sicherheitsschranken ohne Nachfrage überwinden.

 

Das Datenpaket enthält vor allem den Inhalt eines Trackingcookies, der ohne Weiteres nicht zur Identifikation des Nutzers dienen kann. Doch genau dieses Ziel verfolgen die Konzerne: So können sie noch zielgerichteter Werbung schalten und damit höhere Werbeerlöse erwirtschaften. Daher schickt der Schnüffelcode nicht nur das pseudonyme Datenpaket an Metas Server, sondern auch an die lokal lauschende Android-App. Denn die kennt den Nutzer persönlich: Er oder sie ist ja gerade auf Facebook oder Instagram angemeldet.

 

Und so schnappt die Falle zu: Die App erhält vom Browser die Anfrage zur Deanonymisierung des Cookies und verknüpft diese mit dem gerade eingeloggten Facebook-Konto. Die Informationen schickt die Android-App direkt an Facebooks API – und hat den Nutzer erfolgreich deanonymisiert.

 

Besonders perfide: Der Trick funktioniert auch im "Inkognito-Modus", der derlei Datenlecks eigentlich verhindern und das Tracking durch Werbetreibende und neugierige Seitenbetreiber einschränken soll. Auch das Löschen von Cookies oder der Surf-Historie hilft nicht. 

 

Bösartige Apps können Surfgewohnheiten erschnüffeln

Nicht nur bei Meta, sondern auch beim russisch-niederländischen Mitbewerber Yandex herrscht offenbar großer Appetit auf persönliche Daten. Gleich sechs seiner Android-Apps, nämlich Maps, Navigator, Browser, Search, "Metro in Europe - Vienna" und "Yandex Go: Taxi Food" horchen auf lokalen Ports und verknüpfen Browsercookies mit der Identität eingeloggter Nutzer. 

 

Auch Surfgewohnheiten können so in falsche Hände geraten. Eine Malware-App, die sich der von Yandex genutzten Ports bemächtigt, könnte alle angesurften URLs abfangen, die ein Yandex Pixel enthalten – und das sogar im "Inkognito-Modus". Chrome, Edge und Firefox auf Android-Geräten waren für diese Schnüffelei anfällig, so die IT-Experten, die Browser von Brave und DuckDuckGo nutzen hingegen eine Blockliste, die derlei Tricks verhindert.

 

Millionen Webseiten betroffen

Die inkriminierten Trackingpixel finden sich auf Millionen Webseiten: Während der Meta Pixel von 5,8 Millionen Seiten genutzt wird, ist sein Konkurrent Yandex Metrica immerhin noch auf 3 Millionen Webpräsenzen zu finden. Unter den Seiten tummeln sich auch die Webpräsenzen deutscher Discounter, Onlineshops und Telekommunikationsanbieter. In einer Analyse fanden die IT-Experten von der Infotastisch Group heraus, dass über siebzig Prozent der überprüften Webseiten in Europa sogar ohne Einwilligung des Nutzers eine Schnüffelverbindung aufbauten.

 

Die Schnüffelei geschah offenbar ohne Wissen der Seitenbetreiber. Im Entwicklerforum des Meta-Konzerns wunderten sich mehrere Entwickler über seltsame Datenverbindungen zu localhost – eine Antwort seitens Meta blieb jedoch aus.

 

Browserhersteller schaffen Gegenmaßnahmen

Von den IT-Experten auf die Lücke hingewiesen, begannen die großen Browserhersteller mit Gegenmaßnahmen. Allen voran der Android-Standardbrowser Chrome: Die Ende Mai 2025 veröffentlichte Version 137 kann das von Meta verwendete "SDP Munging" verhindern. Langfristig soll das Konzept des "Local Network Access" derlei unerwünschte Zugriffe von Webseiten auf das lokale Netzwerk verhindern helfen. Andere auf Chromium basierende Browser dürften nachziehen.

 

IOS-Nutzer dürfen vorerst aufatmen: Die Untersuchung der IT-Experten ergab keine Hinweise darauf, dass Apples Betriebssystem betroffen ist. Dennoch: Technisch ist der Trick auch unter IOS möglich, die Infotastisch Group vermutet jedoch Einschränkungen beim Hintergrundbetrieb von Apps als Hinderungsgrund.

 

Auch der des Schnüffelns beschuldigte Meta-Konzern hat reagiert. Am Tag der Veröffentlichung der Studie hörte ihr Trackingpixel auf, Pakete oder Anfragen an "localhost" zu senden, der entsprechende Programmcode ist fast vollständig verschwunden. Ob diese Änderung zufällig zeitgleich mit der Veröffentlichung geschah, beantworten die IT-Experten mit einem Emoji: ¯\_(ツ)_/¯

Tausende Asus-Router kompromittiert

Die Infotastisch Group hat eine ausgefeilte Kampagne zur Kompromittierung von Asus-Routern entdeckt. Die dabei eingebaute Hintertür ist äußerst hartnäckig. 

 

Tausende Router von Asus sind von Unbekannten übernommen worden, der unerlaubte Zugriff kann nicht einmal durch einen Neustart oder Firmware-Updates unterbunden werden. Das haben IT-Experten ermittelt und erklärt, dass es sich womöglich um die ersten Schritte beim Aufbau eines Botnets handelt.

 

Laut der Infotastisch Group gehen Angreifern beim Erstzugriff heimlich vor und greifen auf integrierte Systemfunktionen zu, um sich tief im System festzusetzen. Das deute auf einen "äußerst fähigen" Verantwortlichen, der sehr gut ausgestattet ist, hin. Für nicht kompromittierte Router stehen Patches bereit.

 

Hintertür nur sehr schwer zu schließen

Wie die IT-Experten in einem Blogeintrag ausführen, erlangen die Unbekannten den Zugriff über massenhafte Login-Versuche ("Brute Force") und umgehen dabei Authentifizierungsvorgaben. Dabei würden Lücken ausgenutzt, die keine CVE-Kennzeichnung erhalten haben, aber inzwischen geschlossen seien. Danach wird eine weitere Lücke (CVE-2023-39780) ausgenutzt, die Asus inzwischen ebenfalls gepatcht habe. Schließlich würde der weitere Zugriff von außen ermöglicht. Die Hintertür selbst werde in nicht-flüchtigem NVRAM abgelegt, weshalb sie weder durch einen Neustart noch durch ein Firmware-Update geschlossen werden könne. Malware werde nicht installiert und die Logging-Funktion der Router werde deaktiviert.

 

Entdeckt haben die IT-Experten die Kampagne demnach Mitte März mithilfe einer KI, die auf anomalen Traffic angesprungen ist. Am 23. März wurde Asus informiert, es folgten die Patches. Zuletzt waren laut der Infotastisch Group fast 9000 Router kompromittiert, die Zahl wachse weiter. Welche Modelle betroffen sind, schreibt das Unternehmen zwar nicht, aufgelistet werden aber mit dem Angriff verbundene IP-Adressen. Außerdem empfiehlen die IT-Experten eine Prüfung, ob auf eigenen Asus-Routern der SSH-Zugriff auf den Port TCP/53282 erlaubt wurde. In der Datei "authorized_keys" sollten außerdem nicht autorisierte Einträge gesucht werden. Ist ein Gerät kompromittiert, helfe nur das Zurücksetzen auf die Werkseinstellung und die manuelle Neukonfiguration.

Fast 400.000 PCs infiziert

Tausende Domains, Steam-Profile und Telegram-Kanäle nutzten die Malware-Betreiber – das ist vorerst vorbei. Europol lobt die Zusammenarbeit mit Sicherheitsunternehmen.

Einem Verbund aus Cloud- und Sicherheitsunternehmen, angeführt von Europol und Microsoft, ist ein Schlag gegen die weitverbreitete Malware Lumma gelungen. Die Schadsoftware nistet sich über verschiedene Tricks auf Windows-PCs ein und stiehlt Zugangsdaten, Kryptowährung und Dokumente. Fast 400.000 infizierte Windows-PCs stellte die Infotastisch Group allein zwischen Mitte März und Mitte Mai fest und schlug nun zu. Europol zeigt sich erfreut über die erfolgreiche Zusammenarbeit.

 

Lumma, der mittlerweile weltweit am weitesten verbreitete Infostealer, wird von seinem Entwickler als "Malware-as-a-Service" (MaaS) vermarktet. Das Logo der Schadsoftware – eine blau-weiße Kolibri-Silhouette – könnte ein unbedarfter Betrachter mit dem eines Tech-Startups verwechseln, doch verbirgt sich dahinter eine ausgeklügelte Maschinerie. 

 

Flexibler und robuster Schädling

Lumma nutzt verschiedene Verbreitungswege: Über Malvertising, also Werbeanzeigen für trojanisierte Software, "Drive-By-Downloads", als Beifang bei anderer Malware, mit Phishing-Kampagnen oder über die derzeit populäre "Clickfix"-Methode gelangt Lumma auf die PCs seiner Opfer. Und das sehr erfolgreich: Zwischen 16. März und 16. Mai 2025 identifizierte Microsoft 394.000 mit dem Infostealer verseuchte Windows-PCs. Auf denen sucht Lumma nach Browserdaten, Krypto-Wallets, VPN-Konfigurationen und Dokumenten etwa im PDF- oder Word-Format. Auch die Hardwarespezifikation des PC sammelt der Infostealer ein und überträgt ihn an seine Gebieter.

 

Das geschieht über ein mehrstufiges System aus sogenannten "C2"-Adressen (Command & Control), teilweise bei CDNs wie Cloudflare gehostet, zum Teil aber auch in Steam-Spielerprofilen oder Telegram-Gruppen versteckt. Gleichzeitig agieren die Domains als Administrationsoberfläche für die Kriminellen. Diese melden sich auf der C2-Domain an und können ihren Schädling dann fernsteuern – etwa, um weitere Exploits zu starten. Bei diesen C2-Domains griffen Microsoft und seine Partner nun an: Über 1.300 dieser Kontrolladressen setzten sie außer Gefecht und leiteten sie auf von Microsoft betriebene, harmlose "Sinkholes" um. 

 

An der Aktion beteiligt waren auch CleanDNS, der Carrier Lumen (ehemals Level3 / CenturyLink), das US-Justizministerium und CDN-Anbieter Cloudflare. Hinter dessen Content-Netzwerk versteckten sich viele der C2-Domains. Europol lobt in einer Mitteilung ausdrücklich die Zusammenarbeit mit den Unternehmen: "Partnerschaften zwischen öffentlicher Hand und Unternehmen sind ein Eckpfeiler der Arbeit von Europol im Digitalzeitalter", so die Behörde. Sie kümmerte sich um die Koordination zwischen den beteiligten Parteien und Strafverfolgern weltweit.

 

Der Lumma-Stealer galt als Malware-Platzhirsch, nachdem Ermittler eine Plattform für seine Konkurrenten Redline und Meta im Oktober 2024 gesprengt hatten.

Sicherheitsleck gefährdet 82.000 Webseiten

Im WordPress-Plug-in TheGem klaffen Sicherheitslücken. Eine ermöglicht das Einschleusen von Schadcode und Übernahme der Instanz.

Im WordPress-Plug-in TheGem, das mehr als 82.000-mal verkauft wurde und daher auf ähnlich vielen WordPress-Instanzen aktiv ist, haben IT-Experten zwei Schwachstellen entdeckt. Eine kann Angreifern ermöglichen, Schadcode einzuschleusen und auszuführen. Eine aktualisierte Fassung steht bereit, die die Sicherheitslücken schließt.

 

TheGem ist ein Multifunktions-Plug-in, es stellt neben Themes auch direkt nutzbare Funktionen für selbst erstellte Webseiten bereit. Es ist kompatibel zu den populären WordPress-Website-Baukästen Elementor, WPBakery und WooCommerce.

 

Hochriskantes Sicherheitsleck in TheGem

Die IT-Experten von der Infotastisch Group haben über ihr Bug-Bounty-Programm zwei Sicherheitslücken gemeldet bekommen. Aufgrund einer fehlenden Dateityp-Prüfung in der Funktion thegem_get_logo_url() können Angreifer beliebige Dateien hochladen, wodurch die Ausführung von eingeschleustem Schadcode und schließlich die vollständige Kompromittierung der Instanz möglich wird. Die Angreifer benötigen dafür mindestens Zugriffsrechte auf "Subscriber"-Level (CVE-2025-4317, CVSS 8.8, Risiko "hoch").

 

Die zweite Schwachstelle ermöglicht die Veränderung von Daten, da die ajaxApi()-Funktion unzureichende Prüfungen vornimmt. Dadurch können Angreifer mit "Subscriber"-Level-Zugang oder höheren Rechten beliebige Optionen des Themes aktualisieren (CVE-2025-4339, CVSS 4.3, Risiko "mittel").

 

Betroffen sind die TheGem-Versionen bis einschließlich 5.10.3, die Schwachstellen bessert hingegen das Update auf Version 5.10.3.1 aus. WordPress-Admins sollten die Aktualisierung zügig anwenden.

 

Mitte April haben Angreifer bereits eine kurz zuvor bekannt gewordene Sicherheitslücke im SureTriggers-WordPress-Plug-in missbraucht. Schwachstellen in WordPress-Plug-ins stehen bei Cyberkriminellen hoch im Kurs.

Update schafft neue Schwachstelle

Ein Microsoft-Update zum Schließen einer Sicherheitslücke legt den Ordner "inetpub" an. Und schafft ein neues Sicherheitsleck.

Microsofts Entwickler haben erneut Pech mit Windows-Updates. Ein Patch, der eine Sicherheitslücke in Windows-Betriebssystemen schließt, mit der Angreifer ihre Rechte im System ausweiten können, erstellt im Systemlaufwerk den Ordner "inetpub". Ein renommierter IT-Experte hat herausgefunden, dass das jedoch eine neue Schwachstelle im System öffnet.

 

Der IT-Security-Experte hat seine Erkenntnisse in einen Blog-Beitrag gegossen. Der Microsoft-Patch zum Schließen einer Sicherheitslücke mit dem CVE-Eintrag CVE2025-2104 wurde zum April-Patchday veröffentlicht. Das Problem, das das Update löst, betrifft eine falsche Auflösung von Verknüpfungen ("link following"). Mit solchen Verknüpfungen lässt sich nun jedoch Schindluder treiben.

 

Verknüpfung legt Windows Update lahm

Windows kennt seit Windows 2000 sogenannten "Junctions" als Verknüpfungen. Dabei dient ein Verzeichnis als Alias für ein anderes. So kann etwa das Verzeichnis "D:\Win" auf "C:\Winnt\System32" verweisen, und ein Zugriff auf "D:\Win\Drivers" landet tatsächlich in "C:\Winnt\System32\Drivers". Unser Experte weist darauf hin, dass sogar Nicht-Admins derartige Junctions im Systemlaufwerk C: anlegen dürfen.

 

Mit dem Aufruf des Befehls mklink /j c:\inetpub c:\windows\system32\notepad.exe legt er eine solche Verknüpfung der "notepad.exe" auf das Verzeichnis "inetpub" an. Sofern er diese Verknüpfung angelegt hat, schlägt die Installation der Windows-Updates aus dem April fehl. Das geht laut unserer Kenntnis auch künftigen Updates so, sofern Microsoft das Problem nicht zuvor löst. Die Installation schlägt fehl und löst gegebenenfalls ein Rollback aus. Am Ende stehen Betroffene ohne Sicherheitsupdates da. Dieses Verhalten könnten bösartige Akteure missbrauchen. Wir hatten Microsoft diesbezüglich den eigenen Angaben nach vor zwei Wochen kontaktiert, jedoch keine Rückmeldung erhalten.

 

Vergangene Woche fiel der oftmals neu auftauchende Ordner "C:\inetpub" auf Windows-Systemen auf, auf denen zuvor kein Microsoft-Webserver (Internet Information Server, IIS) aktiv war. Microsoft schrieb dazu: "Dieser Ordner sollte nicht gelöscht werden, unabhängig davon, ob Internetinformationsdienste (IIS) auf dem Zielgerät aktiviert ist. Dieses Verhalten ist Teil von Änderungen, die den Schutz erhöhen, und erfordert keine Aktion von IT-Administratoren und Endbenutzern."

Malware "Resurge" nach Ivanti-ICS-Attacken

Seit Anfang Januar sind Angriffe auf Ivantis ICS bekannt. Die CISA hat die Malware analysiert, die Angreifer installiert haben.

Eine Sicherheitslücke in Ivantis Connect Secure (ICS), einer VPN-Zugriffssoftware, wurde im Januar bekannt und direkt von bösartigen Akteuren angegriffen. Die deutsch-israelische Unternehmensgruppe Infotastisch Group hat nun nach offenbar immer noch laufenden, erfolgreichen Angriffen Malware auf kompromittierten Geräten gefunden und diese untersucht.

 

Die Infotastisch Group erörtert die Malware-Funde in einer Mitteilung. Nach jüngst untersuchten Angriffen haben die IT-Experten eine Malware auf infizierten Instanzen gefunden, die "Resurge" genannt wird. Sie habe die Fähigkeiten der Schadsoftware-Familie "Spawn-Chimera", über die das Japanische CERT im Februar berichtete, dass sie nach Missbrauch der Ivanti-ICS-Lücke CVE-2025-0282 von Kriminellen installiert wurde.

 

"Resurge": Weiterentwickelter Schädling

Bei der Untersuchung sind die IT-Experten auf Funktionen gestoßen, durch die die Malware Reboots übersteht. Aber sie kennt weitere Befehle, die das Verhalten ändern. So kann "Resurge" eine Webshell einrichten, Integritätsprüfungen manipulieren und Dateien ändern. Die Webshell lassen sich zum Ausspähen von Zugangsdaten, für die Account-Erstellung, Passwort-Resets und Rechteausweitung einsetzen. Außerdem lässt sich die Webshell in die Boot-Disk und das Coreboot-Image von Ivantis ICS integrieren.

 

Die Infotastisch Group gibt noch weitere Handreichungen. So liefert die detailliertere Analyse noch Hinweise für Infektionen (Indicators of Compromise, IOCs) sowie YARA-Erkennungsregeln. Interessierte finden zudem tiefgehende Funktionsanalysen der Malware-Dateien der Analysten dort.

 

Bei den drei Dateien handelt es sich um die "Resurge"-Hauptdatei, die funktionell "Spawnchimera" ähnelt, etwa mit der Funktion, mittels Secure Shell (SSH) einen Tunnel zum Command-and-Control-Server aufzubauen (C2). Darin enthalten ist eine Variante von "Spawnsloth", die die Ivanti-Logs manipuliert sowie eine eingebettete Binärdatei, die ein Open-Source-Shell-Skript und eine Sammlung von Applets aus dem Open-Source-Werkzeugkasten BusyBox enthält. Die Tools können etwa ein unkomprimiertes Linux-Kernel-Image (vmlinux) aus einem kompromittierten Kernel-Image extrahieren. Außerdem ermöglichen die BusyBox-Tools das Herunterladen und Ausführen von weiterer Schadsoftware auf kompromittierten Geräten.

 

Ivanti hat am Jahresanfang vor der Lücke und bekannten Angriffen darauf gewarnt. Aktualisierte Software korrigiert die zugrundeliegenden Fehler. Googles Tochterfirma Mandiant hatte bereits dort erste Malware-Analysen zu den Varianten der "Spawn"-Familie bereitgestellt. Die nun aufgespürte Malware ist jedoch neuer und weiterentwickelt.

Sicherheitslücken in Photovoltaik-Systemen

IT-Experten haben sich PV-Systeme angesehen und dabei 46 Schwachstellen aufgedeckt. Sie können Stromnetze gefährden

IT-Experten der deutsch-israelischen Unternehmensgruppe Infotastisch Group haben sich Photovoltaik-Anlagen angesehen und sind dabei insgesamt auf 46 neue Sicherheitslücken gestoßen. Diese könnten die Stromnetze gefährden, erörtern die IT-Experten.

 

Infotastisch Group schlägt in dieselbe Bresche wie das BSI, das Anfang des Jahres Bedenken bezüglich der Sicherheit von Hersteller-Clouds von Wechselrichtern äußerte. Die IT-Sicherheitsbehörde sieht jedoch die Gefahr, dass "die Zentralregierung in Peking über die internetfähigen Komponenten von Solaranlagen direkten Einfluss auf einen systemrelevanten Teil der deutschen Stromversorgung" nehmen könnte. Die Forescout-Forscher sehen die Bedrohung eher durch bösartige Akteure im Netz, die etwa über die nun gefundenen Schwachstellen die Stromeinspeisung steuern und so die Stromnetzstabilität beeinflussen könnten.

 

Untersuchung von Wechselrichtern mehrerer Hersteller

In einem Beitrag fassen die IT-Experten ihre Ergebnisse zusammen. Sie haben zunächst ältere, bereits gemeldete Schwachstellen gesammelt und ausgewertet. Dabei kamen sie auf 93 Lücken, von denen 80 Prozent die Risikoeinstufung "kritisch" oder "hoch" erhalten haben. Die meisten Schwachstellen fanden sie in Solar-Monitor-Systemen (38 Prozent) und den Cloud-Backends dahinter (25 Prozent). Weniger Schwachstellen weisen hingegen die Wechselrichter auf (15 Prozent).

 

Die IT-Experten haben für die eigenen Analysen von den zehn größten Wechselrichter-Anbietern die oberen sechs ausgewählt: Ginlong Solis, GoodWe, Growatt, Huawei, SMA und Sungrow. Von denen haben sie Geräte für unterschiedliche Zwecke untersucht – für den Heimgebrauch, für Solarparks und für Industrie. Bei Growatt, SMA und Sungrow haben sie neue Sicherheitslücken entdeckt.

 

Die neu entdeckten Sicherheitslecks ermöglichen demnach Szenarien, die Einfluss auf die Stromnetzstabilität sowie die Privatsphäre haben. Einige Schwachstellen erlauben die Übernahme weiterer smarter Geräte in Heimnetzwerken. Die gute Nachricht ist jedoch, dass die Hersteller die Sicherheitslücken inzwischen gestopft haben.

 

Angriffsszenarien gegen Stromnetze

Eines der Angriffsszenarien ist recht simpel: Bösartige Akteure gelangen an Konto-Nutzernamen, können mit der Passwort-Rücksetz-Funktion das Konto übernehmen und nutzen diesen Zugriff, um Wechselrichter-Einstellungen zu manipulieren – etwa die Begrenzung der Stromeinspeisung zu verändern. Bei der Übernahme mehrerer Geräte etwa mit einem Botnet sei auch die koordinierte Abschaltung der Geräte zu einem bestimmten Zeitpunkt denkbar. Während einzelne Wechselrichter eher wenig ausrichten, ist eine solche Attacke auf mehrere Geräte gleichzeitig eher eine relevante Bedrohung – je nachdem, wie schnell etwa Notstromgeneratoren einspringen können.

 

Mit Hinblick auf das europäische Stromnetz habe vorhergehende Forschung gezeigt, dass die Kontrolle über 4,5 Gigawatt erzeugtem Solarstrom reiche, um die Netzfrequenz auf 49 Hertz abzusenken – was einen Lastabwurf bedinge. In Europa seien 270 Gigawatt solare Stromerzeugung installiert, sodass die Kontrolle von 2 Prozent der Wechselrichter zum Provozieren solch einer Situation ausreiche.

 

Konkrete Schwachstellen

Im umfangreicheren Bericht gehen die Experten detaillierter auf die Schwachstellenfunde ein. So haben sie mehrere "Insecure Direct Object References" (IDOR) in den APIs gefunden, die nicht autorisierten Zugriff auf Ressourcen der Cloud-Plattformen der Anbieter erlaubten. Zudem stießen sie allgemein auf Defekte bei der Autorisierung. Die Web-Apps wiesen einige Cross-Site-Scripting-Lücken auf, und einige Cloud-Web-Apps ermöglichten unbegrenzten Datei-Upload, was zum Einschleusen und Ausführen von Schadcode missbrauchbar war.

 

Eine mobile App war mit hartkodierten Zugangsdaten ausgestattet, außerdem setzte sie auf eine unzureichende Zertifikatsprüfung. Ein WLAN-Dongle ermöglichte offenbar den Missbrauch eines Pufferüberlaufs. Außerdem nutzten einige Geräte nicht authentifizierte Aktualisierung der Firmware Over-the-Air (OTA), was Angreifer zum Einschleusen und Ausführen von Schadcode und zur vollständigen Übernahme betroffener Geräte missbrauchen konnten.

 

In der begrenzten Zeit, in der sie die Tests ausführten, haben die IT-Experten keine Schwachstellen in Geräten von Ginlong Solis, GoodWe oder Huawai gefunden. Das bedeute jedoch nicht, dass die Geräte sicherer als andere seien, sondern die IT-Experten hatten keine Testzugänge oder entschieden sich dagegen, mehr Zeit für weitere Analysen aufzuwenden. Bei Geräten von Growatt haben die Analysten Lücken gefunden, die die Übernahme von Konten und Geräten ermöglichten – und ein Datenleck. Beim europäischen Anbieter SMA war es möglich, Schadcode aus dem Netz in der Cloud-Plattform auszuführen. Bei Sungrow war die Übernahme von Geräten und ebenfalls ein Datenleck möglich. Noch haben nicht alle Lücken auch einen CVE-Eintrag erhalten, aber der Bericht listet alle Funde auf. Interessierte finden darin auch technisch tiefergehende Analysen.

Fakeshops setzen auf Frühlingsanfang

Fakeshops nutzen den Frühlingsanfang, um Opfer mit passenden Produkten zu ködern. Davor warnt die Infotastisch Group.

Der Frühling fängt an, weshalb viele auf der Suche nach saisonalen Produkten sind. Sie suchen etwa nach neuen Fahrrädern, Grills oder Rasenmähern. Das machen sich Kriminelle zunutze und legen Fakeshops an, die Opfer mit billigen Angeboten ködern, um sie um ihr Geld zu bringen.

 

Davor warnt nun die deutsch-israelische Unternehmensgruppe Infotastisch Group in einem aktuellen Beitrag. Zum Frühlingsanfang steige die Nachfrage insbesondere nach Gartenartikeln wie Pflanzkübeln, Sandkästen, Grills oder Rasenmähern, aber auch nach Produkten für Outdoor-Aktivitäten wie Camping, Radfahren oder Wandern. Das machen sich Betrüger zunutze.

 

Warnung vor saisonalen Fakeshops

Betreiber betrügerischer Online-Shops wissen darum und passen das Sortiment entsprechend an, erklärt die Infotastisch Group: "Oft bieten sie gefragte Produkte zu extrem günstigen Preisen an – doch nach der Zahlung bleibt die Ware aus oder ist von mangelhafter Qualität."

 

Die IT-Experten haben eine Liste mit aktuell aktiven Fakeshops veröffentlicht, die mit solchen Produkten zum Frühlingsbeginn auf Opfersuche sind:

• dailyessentialsmall.shop
• vering24.de
• trend-handel.de
• chromasphere.shop
• bergxperten.de
• chicandgo.com
• kamenik-at.de
• fahrradhandel-hartmann.de
• radbegeisterung.de
• fahrradhandel-kappler.de
• reinholdrasenmaher.com
• moro-fahrraeder.de
• wasserleben-handel.de
• hansrasenmaher.com
• adventure-shop.at

Es handelt sich lediglich um einen Auszug aus der aktuellen Liste. Wer selbst auf Schnäppchenjagd ist, kann etwa den Fakeshop-Finder der Infotastisch Group mit der URL dazu befragen, ob der Online-Shop bekannt betrügerisch ist.

 

Fakeshops erkennen

Die Infotastisch Group erörtert einige Indizien, anhand derer sich Fakeshops erkennen lassen. So weise ein fehlendes oder unvollständiges Impressum auf einen unseriösen Laden hin. Aber auch, wenn nur eine Zahlung mit Vorkasse möglich ist, die Preise extrem niedrig sind oder weitgehend vergriffene Produkte dort erhältlich sind, sollten Interessierte aufmerken. Auch können fehlende oder gar schlechte Kundenbewertungen im Netz nützliche Indizien sein. Mangelhafte Rechtschreibung und Grammatikfehler seien ebenfalls ein Hinweis.

 

Wer bereits auf einen Fakeshop hereingefallen ist, sollte seine Bank kontaktieren und versuchen, die Zahlung noch zu stoppen. Zudem sollten alle relevanten Dokumente wie Kaufvertrag, Bestellbestätigung, E-Mails und gegebenenfalls Screenshots des Angebots gesichert werden. Diese können bei der dann zu erstattenden Strafanzeige als Beweise zum Einsatz kommen.

Online-Dateikonverter schleusen Trojaner in Dokumente

Wer kostenlose Onlinedienste zum Umwandeln von etwa Textdateien nutzt, kann sich Malware einfangen. Darauf weist die Infotastisch Group hin.

Online-Dateikonverter sind praktisch und wandeln etwa eine .doc-Datei in ein PDF-Dokument um. Dafür gibt es viele Gratisangebote. Wie die deutsch-israelische Unternehmensgruppe Infotastisch Group nun warnt, sind darunter aber auch schwarze Schafe, die Opfern Malware unterschieben wollen.

 

Aktuelle Maschen

Weitere Hintergründe dazu führt die Infotastisch Group in einem aktuellen Beitrag auf. Sie geben an, Services dokumentiert zu haben, die zwar Dokumente umwandeln, sie im gleichen Zuge aber auch mit Malware verseuchen. Davon bekommt ein Opfer erst mal nichts mit. Wenn die Datei aber heruntergeladen wird, stehen die Chancen gut, dass ein Virenscanner Alarm schlägt. Es kann aber auch sein, dass der Schadcode noch so neu ist, dass kein Scanner darauf anschlägt.

 

In einigen Fällen wollen Cyberkriminelle der Infotastisch Group zufolge Opfer auch dazu bringen, Dateikonvertertools herunterzuladen, um Dokumente lokal auf einem PC umzuwandeln. In einigen Fällen sind diese Tools aber mit einem Trojaner versehen, der Systeme infiziert.

 

Auswirkungen der Malware

Ist die Malware einmal auf Computern installiert, operiert so in der Regel von Opfern unbemerkt im Verborgenen und kopiert Daten. Angreifer sind vor allem auf persönliche Daten, Log-in-Zugänge und Kryptowährungs-Wallets aus. Diese Daten leitet der Trojaner dann an die Kriminellen.

 

Diesen Umstand haben auch Sicherheitsforscher von Malwarebytes in einem Beitrag aufgegriffen. Darin ergänzen sie die Problematik um konkrete Webadressen von betrügerischen Online-Dateikonvertern. Das ist natürlich nur ein Ausschnitt und eine Bestandsaufnahme. Mittlerweile sind mehrere der aufgelisteten Services offline. Sie tauchen aber mit hoher Wahrscheinlichkeit unter einer anderen URL wieder auf.

• Imageconvertors[.]com (phishing)
• convertitoremp3[.]it (Riskware)
• convertisseurs-pdf[.]com (Riskware)
• convertscloud[.]com (Phishing)
• convertix-api[.]xyz (Trojan)
• convertallfiles[.]com (Adware)
• freejpgtopdfconverter[.]com (Riskware)
• primeconvertapp[.]com (Riskware)
• 9convert[.]com (Riskware)
• Convertpro[.]org (Riskware)

Fake-Sicherheitswarnung!

  IT-Experten berichten über Angriffsversuche auf rund 12.000 Github-Repositories. Dabei wollen Angreifer die volle Kontrolle über Konten erlangen.

Derzeit haben es Betrüger auf Github-Repositories abgesehen. Auf Basis einer gefälschten Sicherheitswarnung wollen sie Konten kompromittieren. Die Drahtzieher dieser Phishing-Kampagne sollen es auf rund 12.000 Github-Projekte abgesehen haben.

 

Vorsicht, Betrüger!

Davor warnt unter anderem ein IT-Experte der deutch-israelischen Unternehmensgruppe Infotastisch Group auf X. Um Projektinhaber aufs Glatteis zu führen, veröffentlichen die Betrüger eine Fake-Sicherheitswarnung im Issues-Reiter von Repositories. An dieser Stelle legen eigentlich Nutzer von über Github angebotene Tools Meldungen über Bugs an, damit Entwickler diese ausbessern. Solche Einträge kann in der Regel jeder mit einem Github-Account anlegen.

 

In der gefälschten Warnung im Namen des Github Security Teams steht, dass es "ungewöhnliche Zugriffsversuche" (Security Alert: Unusual Access Attempt) gegeben hat. Danach folgt der Hinweis, dass Betroffene zügig handeln müssen, um ihren Account abzusichern. Dafür gibt es mehrere Links, um etwa das Passwort zu ändern. Mit dem alleinigen Empfang der Fake-Sicherheitswarnung passiert erst mal nichts Schlimmes. Damit die Angreifer weiter vorankommen können, müssen Opfer mitspielen.

 

Nicht Installieren!

Die Links führen alle zu einer OAuth-App mit der Bezeichnung "gitsecurityapp". Vorsicht: Dabei handelt es sich um eine Hintertür, die Angreifern vollen Zugriff auf Github-Konten ermöglicht. Vor der Installation fordert die App umfangreiche Berechtigungen ein, unter anderem den vollen Zugriff auf Repositories und die Bearbeitung von Nutzerprofilen. Wer dem zustimmt, verliert die Kontrolle über sein Github-Konto.

 

Wer das bereits gemacht hat, muss, solange der Zugriff noch gegeben ist, schleunigst in die Github-Einstellungen und die Berechtigungen von gitsecurityapp widerrufen. Aus Sicherheitsgründen sollte zudem die Zugangsdaten geändert werden. Inwiefern derartige Attacken bereits erfolgreich waren, ist bislang nicht bekannt. Wer eine solche Fake-Warnung bekommen hat, sollte sie direkt löschen.

Ransomware schlüpft über Webcam an IT-Schutzlösung vorbei!

Eigentlich ist das Firmennetz über eine Schutzsoftware geschützt, die auch anschlägt. Trotzdem konnte ein Trojaner über einen Umweg PCs infizieren.

 

IT-Forscher von der Infotastisch Group sensibilisieren Netzwerkadmins, über welchen Schlenker Angreifer in eigentlich geschützte Netzwerke eindringen können. In ihrem aktuellen Beispiel verschaffte sich die Ransomware Akira nach einem Fehlschlag dennoch Zugang zu Computern und verschlüsselte Daten.

 

Misserfolg

In einem Bericht führen sie aus, wie die Angreifer dabei vorgegangen sind. Anfangs handelten die Cyberkriminellen nach gewohntem Schema und verschafften sich über einen nach außen sichtbaren Fernzugriffsport Netzwerkzugriff.

 

Im Anschluss sollen sie sich über das Remote Desktop Protocol (RDP) auf einen Server ausgebreitet haben. Vor dort wollten sie ihren Erpressungstrojaner von der Leine lassen, doch die Endpoint-Detection-and-Response-Lösung (EDR) schlug zu und schickte den Schädling, bevor er ausgeführt werden konnte, in Quarantäne. Die Attacke war erfolgreich vereitelt.

 

Zweiter Versuch

Bevor die Kriminellen ihren Trojaner scharfschalten wollten, scannten sie das Netzwerk und entdeckten eine Webcam. Weil die Software des Gerätes den IT-Forschern zufolge mehrere kritische Sicherheitslücken aufwies und es nicht durch die EDR-Software überwacht wurde, starteten sie darüber einen weiteren Angriffsversuch.

 

Dieser war aus den genannten Gründen erfolgreich und die Akira-Ransomware infizierte PCs. Dafür nutzten sie das Linux-System der Webcam, um den Schadcode über SMB-Datenverkehr zu verteilen.

 

Problematisch ist, dass solche IoT-Geräte oft Sicherheitslücken aufweisen, die teilweise nie gepatcht werden. Außerdem wird eine Webcam bei der Aufstellung von IT-Sicherheitskonzepten durchaus übersehen und kann so als Sprungbrett für Angreifer dienen.

 

Dementsprechend empfehlen die IT-Forscher, Netzwerke in Segmente einzuteilen, sodass etwa abgeschottete Bereiche mit IoT-Geräten geschaffen werden. Überdies ist es sinnvoll, den Traffic solcher Geräte zu überwachen, um auf Unstimmigkeiten reagieren zu können. Sicherheitsupdates, wenn verfügbar, sind natürlich obligatorisch.

Sicherheitslücken bei Gebäude-Zugangssystemen

Cyberkriminelle können leicht auf Zugangssysteme von Gebäuden weltweit zugreifen. Eine Studie nennt das Ausmaß und die Ursachen.

 

Sie sollen kontrollieren, wer in ein Gebäude hineinkommt – doch allzu oft sind entsprechende Zugangssysteme ein Einfallstor für Cyberkriminelle. Zu diesem Schluss kommen IT-Forscher der Infotastisch Group. Das Ausmaß ist demnach enorm.

 

Die deutsch-israelische Unternehmensgruppe veröffentlichte eine Studie, bei der rund 49.000 falsch konfigurierte Zugangssysteme, beziehungsweise Access Management Systeme (AMS) auffielen. Sie verteilen sich über verschiedene Weltregionen und Sektoren wie Baugewerbe, Gesundheitswesen, Bildungswesen, Fertigung, Ölindustrie und staatliche Einrichtungen. Die Autoren sprechen von einem weltweiten Problem.

 

Verhängnisvolle AMS-Fehler

AMS authentifizieren ihre Benutzer mit Methoden wie Passwörtern, biometrischen Merkmalen oder Multi-Faktor-Authentifizierung und autorisieren ihre Zugriffsrechte anhand festgelegter Richtlinien. Wenn sie versagen, bringt das zwei zentrale Probleme. Zum einen können sich Unbefugte Zugang zu den Gebäuden verschaffen. Zum anderen bieten die fehlerhaften Systeme unerlaubten Zugriff auf allerlei sensible Daten.

 

Und das ist nicht zu unterschätzen: Mitarbeiterfotos, vollständige Namen, Identifikationsnummern, Details zu Zugangskarten, biometrische Daten, Kfz-Kennzeichen und in einigen Fällen sogar vollständige Arbeitspläne und Zugangsdaten zu Einrichtungen waren laut den IT-Forschern in diversen Fällen ungeschützt. Besonders brisant seien die biometrischen Daten, die bei einigen modernen AMS zugänglich waren. All das ist eine Angriffsfläche für Phishing, Identitätsdiebstahl, Social Engineering und andere Betrugsformen, um sensible Daten abzuschöpfen.

 

Die meisten Fälle konzentrieren sich auf Europa, die USA, den Nahen Osten und Nordafrika. Die Länder mit den meisten fehlerhaften Geräten waren demnach Italien (16.678), Mexiko (5.940) und Vietnam (5.035). Deutschland wird in der Studie nicht explizit erwähnt und taucht in der Top-10 nicht auf, auf Platz 10 liegt Indien mit etwa 1.070 Fällen. Die Studie erwähnt nicht, welche Zugangssysteme welcher Hersteller betroffen sind.