Aktuelle Sicherheitswarnungen

Patchday: Angreifer umgehen erneut Sicherheitsfunktion und attackieren Windows 

Microsoft hat wichtige Sicherheitsupdates für unter anderem Bitlocker, Office und Windows Defender veröffentlicht. Zwei Lücken nutzen Angreifer bereits aus.

Wer Software von Microsoft nutzt, sollte sicherstellen, dass Windows Update aktiv ist und die aktuellen Sicherheitspatches installiert sind. Andernfalls sind Systeme verwundbar und Angreifer können PCs im schlimmsten Fall über Schadcode-Attacken vollständig kompromittieren.

Attacken auf Windows

Angreifer setzen derzeit an einer Schwachstelle (CVE-2024-29988 "hoch") in der Windows-Sicherheitsfunktion SmartScreen-Filter an. Damit kennzeichnet das System, ob heruntergeladene Dateien aus einer vertrauenswürdigen Quelle stammen (Mark-of-the-Web-Markierung, MoTW). Schlägt die Untersuchung Alarm, verhindert der Schutzmechanismus die Ausführung der Datei.

Genau diese Prüfung umgehen Angreifer derzeit in laufenden Attacken. Opfer wähnen sich aufgrund von SmartScreen-Filter in Sicherheit und vertrauen einer heruntergeladenen Datei, holen sich mit der Ausführung aber einen Trojaner auf den Computer. Dazu muss ein Angreifer Opfer aber immer noch dazu bringen, die mit Schadcode präparierte Datei zu öffnen. Attacken sind also nicht ohne Weiteres möglich. Wie aus einer Warnmeldung hervorgeht, sind davon aktuelle Windows- und Windows-Server-Versionen bedroht. Derartige Attacken gab es in jüngster Zeit öfter.

Die zweite zurzeit ausgenutzte Sicherheitslücke (CVE-2024-26234 "mittel") betrifft ebenfalls aktuelle Windows-Desktop- und Windows-Server-Ausgaben. Angreifer können bei diesen verwundbaren Systemen mit einer Proxy-Treiber-Spoofing-Attacke ansetzen. Konkrete Angriffsszenarien und Auswirkungen von Attacken führt Microsoft derzeit nicht aus.

Weitere Gefahren

Drei Lücken (CVE-2024-21322 "hoch", CVE-2024-21323 "hoch", CVE-2024-29053 "hoch") in Defender for IoT stuft Microsoft als kritisch ein. Hier können Angreifer auf einem nicht näher beschriebenen Weg für Schadcode-Attacken ansetzen.

In Azure können Angreifer über eine Schwachstelle in der KI-Suche (CVE-202429063 "hoch") unbefugt auf Informationen zugreifen. Durch eine Lücke in Azure CycleCloud (CVE-2024-29993 "hoch") können sich Angreifer höhere Nutzerrechte verschaffen.

Weitere Schwachstellen führt Microsoft in seinem Security Update Guide auf.

Gefunden auf https://www.heise.de/news/Patchday-Angreifer-umgehen-erneut-Sicherheitsfunktion-und-attackieren-Windows-9679989.html.

BSI warnt mit Stufe 3 / orange: 

Der Open-Source Anbieter Red Hat hat am 29.03.2024 bekannt gegeben, dass in den Versionen 5.6.0 und 5.6.1 der "xz"-Tools und -Bibliotheken maliziöser Code entdeckt wurde, der es ermöglicht, die Authentifizierung in sshd über systemd zu umgehen. Der Schwachstelle wurde als CVE-2024-3094 veröffentlicht. 

Empfehlung und Maßnahmen:

Maßnahmen IT-Sicherheitsverantwortliche sollten die Nutzung von Fedora 41 und Fedora Rawhide unverzüglich stoppen. xz selbst sollte auf eine ältere, stabile Version wie 5.4.6 zurückgesetzt werden. SUSE hat ein Downgerade-Verfahren veröffentlicht.  Auch bei Verwendung anderer Distributionen wird empfohlen, das Upgrade auf die xz Versionen 5.6.x nicht vorzunehmen bzw. wieder auf die sicheren Versionen zurück zu gehen.

Gefunden auf https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223608-1032.pdf?__blob=publicationFile&v=3.

ALERT: Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen

Der Angriff wurde offenbar von langer Hand geplant. Ein möglicherweise staatlicher Akteur versteckte eine Backdoor in der liblzma-Bibliothek.

Die Security-Community ist alarmiert: Wie ein Entwickler eher zufällig aufdeckte – er forschte nach der Ursache mysteriöser Leistungsprobleme bei SSH-Verbindungen –, steckt in der liblzma-Bibliothek eine Hintertür. Zwar gaben die großen Linux-Distributionen Entwarnung für ihre stabilen Versionen, in verschiedenen Linux-Varianten, Unstable-Versionen sowie in der Homebrew-Werkzeugsammlung für macOS steckte die Backdoor jedoch. Sie ist dort allerdings nicht unbedingt ausnutzbar.

Die Bibliothek "liblzma" gehört sicher nicht zu den bekanntesten Funktionssammlungen für offene Betriebssysteme – sie dient zum Verarbeiten gepackter Dateien im xz-Format. Dennoch ist sie ein untrennbarer Bestandteil jeder auf systemd basierenden Linux-Distribution, da der Systemdienst die Bibliothek verwendet. Auch nutzen verschiedene Paketformate wie .deb und Fedora-RPMs den xz-Packer zur Kompression der Paketdaten.

Wie der Entdecker Andres Freund herausgefunden hat, befindet sich die Hintertür ausschließlich in den Quellcode-Paketen für verschiedene liblzma-Versionen, ist im Git-Repository des Projekts also nicht zu finden. Was genau die Hintertür bewirkt und ob sie bereits aktiv von Angreifern ausgenutzt wird, ist zur Stunde noch unklar. Bekannt ist jedoch der Urheber, ein Entwickler namens "Jia Tan", der gemeinsam mit einigen anderen – möglicherweise gefälschten – Entwicklerkonten ein sehr aktiver Mitarbeiter des liblzma-Projekts war.

Die mutmaßliche Verschwörung übte im Juni 2022 starken Druck auf den Hauptentwickler von liblzma aus, das Projekt in "aktivere Hände" zu geben, was dann auch passierte. Im Februar dieses Jahres versteckte Jia Tan dann die gut getarnte Hintertür, die vermutlich die Authentifizierungsfunktion von OpenSSH schwächt oder außer Kraft setzt. Die Backdoor aktiviert sich nur dann, wenn sie den Programmnamen "/usr/sbin/sshd" erkennt. Zur Stunde gibt es noch keine vollständige Analyse des Backdoor-Codes, die Redaktion verfolgt die Analyse aber weiter. Auf Github gibt es eine FAQ zur xz-Backdoor. Auch eine CVE-ID für die Hintertür gibt es bereits: CVE-2024-3094.

Die großen Linux-Distributionen Debian, Ubuntu und Fedora haben den schadhaften Code lediglich in ihren Test-Versionen wie etwa Debian Sid ausgeliefert und sich wieder auf sichere Versionen zurückgezogen. Fedora ruft sicherheitshalber jedoch auch Nutzer der Version 40 zum Update auf. Der macOS-Paketmanager Homebrew jedoch nutzte die trojanisierte Version der xz-Werkzeuge ebenfalls in verschiedenen Anwendungen – die Entwickler haben auch hier einen Rollback auf eine sichere Version vollzogen.

Kali, Arch und andere betroffen

Das Pentesting-Linux Kali und Arch Linux warnen Nutzer ebenfalls vor Hintertüren in aktuellen Versionen ihrer Distribution und drängen auf zügige Updates. Ähnlich auch andere Distibutionen vor, wie beispielsweise Gentoo, das ein Downgrade auf eine nicht betroffene Paketversion empfiehlt. Weitere Distributionen dürften folgen – Administratoren werden über das Osterwochenende die Entwicklung bei ihrer favorisierten Linux-Geschmacksrichtung im Auge behalten müssen. Vermutlich war die Hintertür in vielen dieser Fälle nicht ausnutzbar oder nicht einmal aktiv, weil dafür verschiedene Umstände zusammenkommen müssen. Dennoch sind Anwender gut beraten, verfügbare Updates schnellstmöglich einzuspielen, insbesondere, weil die Funktionsweise der Hintertür noch nicht vollständig verstanden ist. Der Finder der Hintertür hat ein Bash-Skript geschrieben, um eine potentiell anfällige liblzma-Version auf dem eigenen System zu finden. Es bietet zwar keine vollständige Sicherheit, jedoch einen ersten Anhaltspunkt.

Die Security-Szene ist derweil weiter in Alarmstimmung. Dass ein Unbekannter mithilfe möglicherweise gefälschter Spießgesellen die Kontrolle über ein Open-Source-Projekt übernehmen und Schadcode einschleusen kann, wirft ein Schlaglich auf die prekäre Situation vieler, vor allem kleinerer Projekte. Dass ein einzelner Projektbeteiligter die Verantwortung für den gesamten Programmcode trägt und das ehrenamtlich, ist keine ungewöhnliche, doch aber eine potenziell schädliche Situation.

(Anm. der Redaktion: Die Situation rund um die liblzma-Lücke entwickelt sich sehr schnell und ist aktuell sehr unübersichtlich. Wir werden diese Meldung im Laufe der nächsten Stunden aktualisieren um eine zweite Meldung ergänzen, sollten sich weitere Entwicklungen ergeben.)

Gefunden auf https://www.heise.de/news/Hintertuer-in-xz-Bibliothek-gefaehrdet-SSH-Verbindungen-9671317.html.

Raccoon: Datendieb stiehlt Infos aus Browsern und Krypto-Wallets

Malware, die Datendiebstahl im großen Stil betreibt ist nichts Ungewöhn­liches. Anhand eines Beispiels eines derzeit aktiven Datendiebs erläutern jetzt Sicherheitsforscher das Prinzip der Angreifer und warnen vor der Verbreitung.

Mit Malware-As-A-Service (MaaS) machen Cyber­kriminelle Kasse. Sie bieten Schadcode zur "Miete" an, der dann den PC eines Opfers aus­spion­ieren kann. Wie das Online-Magazin Bleeping Computer berichtet, ist nun wieder ein solches Netzwerk bei dem Sicherheits­dienst­leister CyberArk Software aufgefallen. Es handelt sich dabei um einen so genannten Infostealer, also einem Datendieb namens Raccoon. Die Malware ist auch unter dem Namen Legion, Mohazo und Racealer aktiv.

Malware-As-A-Service

Das neue an diesen Schadprogrammen ist, dass sie als Malware-As-A-Service mit geringen Einstiegshürden vertreiben wird: Wer das Angebot findet braucht nur noch ein wenig Geld. Vorkenntnisse sind nicht erforderlich. Früher waren solche Tools dagegen allenfalls raffinierteren Angreifern vorbehalten, erläutert CyberArk. Jetzt können selbst Anfänger sich Datendiebe wie Raccoon kaufen, um an die sensiblen Daten einer Organisation oder eines beliebigen Ziels zu gelangen.

Raccoon ist dabei darauf spezialisiert, sensible Daten aus rund 60 Anwendungen auf einem Zielcomputer zu extrahieren. Dazu gehören populäre Webbrowser wie Google Chrome, der Internet Explorer oder Opera, aber auch Nischen-Clients wie TorBro, Mustang oder Torch.

Verbreitung nimmt zu

Raccoon wurde dabei vor rund einem Jahr zum ersten Mal entdeckt, damals noch über russischsprachige Foren vertrieben. Jetzt findet man das Tool laut CyberArk auch im englischsprachigen Raum. Eine Analyse von CyberArk ergab, dass der Infostealer in C++ geschrieben ist und weit davon entfernt ist, ein komplexes Werkzeug zu sein. Es kann jedoch sensible und vertrauliche Informationen aus fast 60 Programmen (Browser, Krypto-Wallets, E-Mail- und FTP-Clients) stehlen. Dazu gehören Cookies, Verlaufhistorie und Autofill-Informationen.

Zu ihren Opfern kommt Raccoon unter anderem über Exploit-Kits und Phishing. Trotz der Einfachheit der Malware hat sie jedoch bereits Hunderttausende von Computern weltweit infiziert.

Anwendungen, die Raccoon bestiehlt:

• Browser:
• Google Chrome, Google Chrome (Chrome SxS), Chromium, Xpom, Comodo Dragon, Amigo, Orbitum, Bromium, Nichrome, RockMelt, 360Browser, Vivaldi, Opera, Sputnik, Kometa, Uran, QIP Surf, Epic Privacy, CocCoc, CentBrowser, 7Star, Elements, TorBro, Suhba, Safer Browser, Mustang, Superbird, Chedot, Torch
• Internet Explorer, Microsoft Edge
• Firefox, WaterFox, SeaMonkey, PaleMoon
• Email-Clients:
• ThunderBird, Outlook, Foxmail
• Krypto-Wallets:
• Electrum, Ethereum, Exodus, Jaxx, Monero, Bither

Gefunden auf https://winfuture.de/news,114279.html. 

Microsoft: März-Updates können Windows Server lahmlegen

Microsoft hat bestätigt, dass die Sicherheitsupdates aus dem März Windows Server mit Active Directories lahmlegen können.

Wer einen Windows-Server betreibt und damit ein Active Directory verwaltet, hat nach dem Anwenden der Updates vom März-Patchday von Microsoft unter Umständen ein Problem. Der Server kann stehen bleiben und neu starten.

In den Release-Health-Notizen zum Windows Server schreiben Microsofts Entwickler, dass nach der Installation des März-Sicherheitsupdates KB5035857 der Local Security Authority Subsystem Service (LSASS) Speicherlecks auf Domain-Controllern (DCs) haben kann. Dies lasse sich beobachten, sofern On-Premise- oder Cloud-basierte Active Directory Domain Controller Kerberos-Authentifizierungsanfragen verschicken.

Windows Server: Abstürze nach "extremen Speicherlecks"

Speicherlecks führen oftmals zu Performanceeinbußen. Die Entwickler erklären, nach "extremen Speicherlecks" könne der Dienst LSASS abstürzen, was einen ungeplanten Neustart des unterliegenden Domain-Controllers auslöse. Microsoft betont, dass das nicht auf Heimgeräten auftrete, sondern ausschließlich in Umgebungen in Organisationen, die die Windows Server-Plattform einsetzten.

Die gute Nachricht

Die Wurzel des Übels haben die Programmierer den Angaben zufolge aufgespürt. Sie arbeiten demnach an einer Lösung, die in den kommenden Tagen veröffentlicht werden soll.

Konkret betroffene Systeme sind Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 und Windows Server 2022 und diese sowohl im lokalen Netz als auch in der Cloud.

Bereits im Januar hatte Microsoft Probleme mit den Windows-Updates zum Patchday. Sie ließen sich mit der Meldung eines Fehlercodes, 0x80070643, nicht installieren. Das Unternehmen gab dann Tipps, wie sich die Aktualisierung doch erfolgreich anwenden ließ.

Gefunden auf https://www.heise.de/news/Microsoft-Maerz-Updates-koennen-Windows-Server-lahmlegen-9661470.html.

Phishing-Radar: Warnung vor neuen Phishingmails mit Pikabot Malware

Aktuell verbreiten sich neue, schädliche Phisingmails, die sogenannte Pikabot Malware enthalten. Die meisten schadhaften Mails werden zwar von unseren Sicherheitssystemen abgefangen.

Merkmale dieser Phishingmails können sein:

1. Absende-Adresse: Der Absendename imitiert meinst eine Ihnen bekannte Person, die tatsächliche Mailadresse ist aber eine vollkommen andere Mailadresse ohne Bezug zum Kommunikationspartner.

2. Betreff: Meist tauchen doppelte Buchstaben im ursprünglichen Betreff auf oder Umlaute fehlen.

3. Vermeintliche Erinnerungsmail: Der Mailinhalt suggeriert, dass die Mailempfänger es noch nicht einrichten haben können eine Mail zu sichten. Die Texte in den Mails lauten dann in etwa:
Haben Sie einen Momment Zeit gehabt, um das Dokument zu sehen, das ich am Vortag weitergeleitet habe?
Wurden Sie die Gelegenheit hatten, die Unterlagen zu untersuchen, die ich letzten Tag gesendet habe?
Ich habe Ihnen gestern eine Dattei gesendet. Haben Sie es zu Ihnen?
Ich habe am Vortag eine Datei auf Ihren Weg geschickt. Können Sie es erhalten?
Ich habe Ihnen am Vortag ein Material weitergeleitet. Sind es zu dir gekommen? etc.pp…

4. Erwartete Handlung: In der Mail werden Sie meistens aus dem Kontext gerissen zum Herunterladen oder Öffnen einer Datei aufgefordert.

5. Gestohlene Kommunikation: Die Mails beziehen sich auf vorangegangene, gestohlene Kommunikation mit einer Ihnen bekannten Person. Das Vorgehen nennt sich Thread Hijacking. Meist fehlen jedoch Umlaute in den zitierten Texten. Oft lässt sich auch nicht mehr nachvollziehen, wann die letzte Kommunikation mit der ursprünglichen Kontaktperson stattgefunden hat.

Durch folgende Merkmale ist die automatisierte Kategorisierung durch unsere Sicherheitssysteme nicht in allen Fällen zuverlässig möglich:

• Betreff ist nicht einheitlich
• Absende-Adressen sind meist unterschiedlich
• Text ist nicht einheitlich
• Malware wird teilweise als Anhang (verschlüsseltes ZIP-Archiv), teilweise auch mit Links zu Webseiten, von wo aus der Schadcode dann heruntergeladen wird, auch sind die jeweiligen Dateien randomisiert

Umgesetzte Maßnahmen und Empfehlungen

Zip wurde als Anhang derzeit gesperrt und kann daher nicht weiter in E-Mails genutzt werden. Die Mail-Gateway Filter und Regeln wurden so gut es geht angepasst. Bitte eingehende E-Mails besonders sorgfältig prüfen und vor allem vorsichtig sein vor dem Öffnen von Mail-Anhängen oder Anklicken von Links!Verdächtige E-Mails bitte als Anhang senden an: antivirus@rptu.de.

Gefunden auf z.B.: https://blog.fernuni-hagen.de/zdi/2023/12/20/warnung-vor-neuen-phishingmails-mit-pikabot-malware/ 

Phishing-Radar: Aktuelle Warnungen

Die Verbraucherzentrale NRW stellt auf ihrer Webseite die aktuellsten Warnungen zur Verfügung. Anhand von diversen Beispielen sieht man wie Namen großer Unternehmen genutzt wird, um an potentielle Opfer zu kommen. Auf der Webseite werden daher Infos bereitgestellt, wie man sich als Privatperson informieren und schützen kann.

Gefunden auf https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/phishingradar-aktuelle-warnungen-6059 

Linux: Sicherheitslücke in glibc bringt Angreifern Root-Privilegien

Fast alle aktuellen Linux-Varianten sind von dem Sicherheitsleck betroffen, das Missetäter jedoch nicht aus der Ferne angreifen können. Updates stehen bereit.

Drei neue Lücken in der zentralen Linux-Bibliothek glibc beschäftigen derzeit die Entwickler und Distributoren des quelloffenen Betriebssystems. Über die Sicherheitslecks können Nutzer ihre eigenen Privilegien ausweiten und – nach einigen Versuchen – Code mit den Privilegien des Admin-Nutzers "root" ausführen. Die großen Linux-Distributionen haben bereits reagiert und aktualisierte Pakete veröffentlicht.

Wie die Entdecker von Qualys Labs berichten, stießen sie auf den Fehler in der Hilfsfunktion __vsyslog_internal(), die von Protokollierungs-Funktionen der glibc aufgerufen wird und offenbar seit August 2022 im Code der Bibliothek schlummerte. Ironischerweise entstand der Bug aufgrund einer Fehlerbehebung für ein anderes Sicherheitsproblem in derselben Funktion.

Das Problem, das die Forscher unter Debian 12 und 13, Ubuntu 23.04 und 23.10 sowie Fedora 37 bis 39 nachvollziehen konnten, basiert auf einem Pufferüberlauf und ist mit einiger Bastelei zur Ausführung eigener Kommandos als "root" nutzbar. Zum Glück, so schreiben die Experten, ist die Sicherheitslücke nicht aus der Ferne ausnutzbar; ein lokales Benutzerkonto ist notwendige Vorbedingung.

Diese Bedingung beeinflusst auch die Risikobewertung für CVE-2023-6246, die ein hohes Risiko ergibt. Zwar ist kein offizieller CVSS-Wert bekannt, mit den bekannten Details ergibt sich jedoch ein Punktwert von 7,8/10 (CVSS-Vektor: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H/E:F/RL:O/RC:C).

Verwundbarkeit testen mit 128.000 Nullen

Mit einem Bash-Einzeiler können Admins testen, ob ihr System noch betroffen oder bereits repariert ist. Wie bei jedem "Proof of Concept" ist jedoch Vorsicht geboten: Nicht immer sind unerwünschte Nebenwirkungen ausgeschlossen.

(exec -a "`printf '%0128000x' 1`" /usr/bin/su < /dev/null)

Nach Eingabe dieser Zeile als normaler Benutzer auf einem verwundbaren System erscheint kurz die su-typische Passwortabfrage und dann unvermittelt die Meldung "Segmentation fault (core dumped)".

Die großen Linux-Distributionen Debian und Fedora haben mit eigenen Sicherheitshinweisen reagiert und aktualisierte glibc-Pakete bereitgestellt. Diese beheben in der Regel auch zwei kleinere Sicherheitslücken in der glibc, welche die CVE-IDs CVE-2023-6779 und CVE-2023-6780 tragen. Von Ubuntu ist bis dato noch kein aktuelles Paket erschienen, eine tagesaktuelle virtuelle Maschine in der heise-security-Redaktion ist noch verwundbar.

Die Linux-Bibliothek glibc gilt neben dem Kernel als eines der zentralen Elemente des Betriebssystems, was Sicherheitslücken eine große Bedeutung gibt. So hatte Qualys im vergangenen Jahr die "Looney Tunables" entdeckt, die ebenfalls die Ausweitung der Rechte eines lokalen Nutzers ermöglichten.

Gefunden auf https://www.heise.de/news/Linux-Sicherheitsluecke-in-glibc-bringt-Angreifern-Root-Privilegien-9614333.html 

HINWEIS RPTU:

Ergänzende Information: erst ab glibc 2.37 - EL8 (HPC und Linux-Terminalserver sind nicht betroffen).

Übernahme fremder Konten ohne Nutzerinteraktion möglich

Gitlab hat Patches für mehrere Sicherheitslücken bereitgestellt. Eine davon erreicht mit einem CVSS von 10 den maximal möglichen Schweregrad.

Für die Community- und Enterprise-Edition von Gitlab stehen neue Sicherheitsupdates bereit, die teils kritische Schwachstellen beheben, von denen eine sogar die Übernahme fremder Benutzerkonten ohne jegliche Nutzerinteraktion ermöglicht. Der Anbieter der Quellcodeverwaltungssoftware empfiehlt Administratoren, ihre Gitlab-Instanzen dringend zu aktualisieren. Wer den Dienst über gitlab.com nutze, sei bereits geschützt.

Ganz besonders hebt Gitlab in seiner Mitteilung die als CVE-2023-7028 registrierte und mit einem maximal möglichen CVSS von 10 als kritisch bewertete Sicherheitslücke hervor. Damit sei es Angreifern möglich, Benutzerpasswörter über eine nicht verifizierte E-Mail-Adresse zurückzusetzen und somit die Konten anderer Nutzer vollständig zu übernehmen

Betroffen seien sämtliche Authentifizierungsverfahren der folgenden Gitlab-Versionen:

• 16.1 bis 16.1.5 (gepatcht durch 16.1.6)
• 16.2 bis 16.2.8 (gepatcht durch 16.2.9)
• 16.3 bis 16.3.6 (gepatcht durch 16.3.7)
• 16.4 bis 16.4.4 (gepatcht durch 16.4.5)
• 16.5 bis 16.5.5 (gepatcht durch 16.5.6)
• 16.6 bis 16.6.3 (gepatcht durch 16.6.4)
• 16.7 bis 16.7.1 (gepatcht durch 16.7.2)

Aktive 2FA schützt vor Kontoübernahme

Bei Nutzern mit aktiver Zwei-Faktor-Authentifizierung (2FA) sei die Passwortänderung durch einen Angreifer zwar ebenfalls möglich, nicht jedoch die Übernahme des Accounts. Entsprechend lautet auch die Empfehlung: Die 2FA sollte idealerweise für alle Gitlab-Konten aktiviert werden, insbesondere jedoch für jene mit erweiterten Zugriffsrechten.

Entstanden ist die Sicherheitslücke wohl schon am 1. Mai 2023 mit der Veröffentlichung der Gitlab-Version 16.1.0. Ihr unter dem Pseudonym asterion04 genannter Entdecker hatte die Schwachstelle der Mitteilung zufolge über das Hackerone-Bug-Bounty-Programm von Gitlab gemeldet.

Ausnutzung lässt sich prüfen

Administratoren, die überprüfen wollen, ob CVE-2023-7028 auf ihrer Instanz bereits aktiv ausgenutzt wurde, empfiehlt Gitlab einen Blick in die Protokolle gitlab-rails/production_json.log und gitlab-rails/audit_json.log. Details zu den dort zu erwartenden Auffälligkeiten sind der Mitteilung des Anbieters zu entnehmen.

Zu den weiteren behobenen Schwachstellen zählt CVE-2023-5356, die mit einem CVSS von 9,6 ebenfalls als kritisch eingestuft ist. Ein Angreifer könne die Slack/Mattermost-Integrationen missbrauchen, um Slash-Befehle als ein anderer Benutzer auszuführen, erklärt Gitlab diesbezüglich. Darüber hinaus hat das Unternehmen noch CVE-2023-4812, CVE-2023-6955 und CVE-2023-2030 gepatcht – mit unterschiedlichen Schweregraden von niedrig bis hoch.

Gefunden auf: https://www.golem.de/news/gitlab-uebernahme-fremder-konten-ohne-nutzerinteraktion-moeglich-2401-181149.html 

Google Chrome: Sicherheitslücke wird in freier Wildbahn ausgenutzt

Google aktualisiert den Webbrowser Chrome. Das Update schließt hochriskante Sicherheitslücken. Eine davon wird bereits missbraucht.

Googles Entwickler schließen mit einem Update des Webbrowsers Chrome mehrere Sicherheitslücken, von denen eine bereits in freier Wildbahn angegriffen wird. Insgesamt dichtet die neue Fassung vier Sicherheitslecks ab. Wer Chrome oder darauf basierende Browser nutzt, sollte das Update zügig anwenden.

Vier Schwachstellen in Chrome

Bei der bereits angegriffenen Schwachstelle handelt es sich laut Googles Release-Benachrichtigung um einen Speicherzugriff außerhalb der vorgesehenen Grenzen in der Javascript-Engine V8 (CVE-2024-0519, kein CVSS-Wert, Risiko laut Google "hoch"). Zudem können Angreifer etwa mit manipulierten Webseiten eine Schwachstelle der Art "Type confusion" in V8 missbrauchen, wobei übergebene Datentypen nicht mit denen im Programmcode vorgesehenen übereinstimmen, was ebenfalls zu Zugriffen auf nicht dafür vorgesehene Speicherbereiche führen kann (CVE-2024-0518, kein CVSS-Wert, hoch).

Schreibzugriffe außerhalb der Speichergrenzen sind durch eine weitere Schwachstelle in der V8-Engine möglich – der Melder der Lücke erhält von Google sogar 16.000 US-Dollar Belohnung (CVE-2024-0517, kein CVSS-Wert, hoch). Zu der vierten Lücke gibt Google keinerlei Hinweise, da sie offenbar nicht von externen IT-Sicherheitsforschern gemeldet wurde.

Die Fehler korrigieren die Versionen Chrome 120.0.6099.230 für Android, 120.0.6099.224 für Linux, 120.0.6099.234 für macOS sowie 120.0.6099.224/225 für Windows. Die Extended Stable-Fassung für macOS und Windows tragen ebenfalls diese Versionsnummern.

Aktive Softwareversion überprüfen

Ob bereits die aktuelle und fehlerbereinigte Version von Google Chrome läuft, lässt sich im Versionsdialog überprüfen. Der zeigt den aktuellen Software-Stand an und startet bei Bedarf den Update-Prozess.

Der Dialog lässt sich durch Klick auf das Symbol mit den drei vertikal gestapelten Punkten und den weiteren Weg "Hilfe" – "Über Google Chrome" öffnen. Wer Chrome in Linux nutzt, sollte die Software-Verwaltung der eingesetzten Distribution starten und nach dem Update suchen lassen. Da der Chromium-Browser mitsamt seiner Javascript-Engine auch als Basis für andere Webbrowser wie Microsofts Edge dient, sollten Nutzerinnen und Nutzer dieser Browser ebenfalls prüfen, ob bereits eine Aktualisierung verfügbar ist und diese anwenden.

Beim turnusgemäßen Chrome-Update der vergangenen Woche haben die Entwickler eine Sicherheitslücke darin ausgebessert. Sie galt ebenfalls als hohes Risiko.

Gefunden unter: Google Chrome: Sicherheitslücke wird in freier Wildbahn ausgenutzt | heise online

Von der Nutzung des neuen Outlook wird aus datenschutzrechtlichen und Sicherheitsgründen dringendst abgeraten.

Microsoft bewirbt derzeit sein neues Outlook, welches kostenlos von Microsoft bereitgestellt wird und "Mail für Windows" ablösen soll, insbesondere in Windows 11. Durch die Nutzung dieser neuen Outlook-Version werden die Zugangsdaten von den eingerichteten Mailkonten, hier der RPTU-Account inkl. Passwort, sowie alle Mails aus einem Postfach, an Microsoft-Server übertragen. Dies ist datenschutzrechtlich und aus Sicherheitsgründen sehr bedenklich. Microsoft ist damit in der Lage die E-Mail-Inhalte, Anhänge und Kontaktdaten zu analysieren und auszuwerten. Wir raten dringend davon ab, das neue Outlook zu verwenden! Datenschutzaufsichtsbehörden sind bereits aktiv geworden und raten ebenfalls von der Nutzung des neuen Outlook ab.

Bei Rückfragen wenden Sie sich bitte an das RZ Service Center: https://rz.rptu.de/support

Quellen:

https://www.heise.de/news/Microsoft-krallt-sich-Zugangsdaten-Achtung-vorm-neuen-Outlook-9357691.htmlhttps://www.tlfdi.de/fileadmin/tlfdi/presse/Pressemitteilungen_2023/231117_PM_Outlook.pdf

PATCH FÜR Sicherheitslücke

Der fix für die curl HIGH-Sicherheitslücke wurde released. https://daniel.haxx.se/blog/2023/10/11/curl-8-4-0/

[Der Explainer zur SOCKS5-Verwundbarkeit ist absolut lesenswert! "To learn how this flaw was reported and we worked on the issue before it was made public" -> Nicht nur dafür, sondern auch, um zu zeigen, wie richtig Umgehen mit solchen Szenarien, wenn es einen trifft und wie solche "Fehler" entstehen können.]

------------------------------

cURL: Infos zu "schlimmster Sicherheitslücke seit Langem" kommen am 11. Oktober

Der Gründer des cURL-Projekts kündigt die Veröffentlichung von Infos zu einer schweren Lücke in den Web-Requests-Tools für den kommenden Mittwoch an.

Die Toolsammlung cURL wird von vielen Projekten für HTTP-Aufrufe, API-Calls und für Downloads auf der Kommandozeile verwendet. Nun kündigt ihr Gründer des Projekts für den 11. Oktober ein Sicherheits-Update an, das es offenbar in sich hat.

Wenn cURL-Schöpfer Daniel Stenberg die Formulierung "schnallt Euch an" zu einer Sicherheitslücke verwendet, verheißt das nichts Gutes. Die Ankündigung des Schweden auf X ist sehr deutlich: Der Bug CVE-2023-38545 sei das "schlimmste Sicherheitsproblem, das seit langer Zeit in cURL gefunden wurde". Stenberg, ein vehementer Kritiker der CVE- und CVSS-Methodik, nutzt seine Ankündigung für einen Seitenhieb auf die US-Datenbank für Sicherheitslücken. Die NVD werde ob der Schwere des Problems wohl einen "völligen Nervenzusammenbruch" erleiden.

Mehr unter cURL: Infos zu "schlimmster Sicherheitslücke seit Langem" kommen am 11. Oktober | heise online

Severity HIGH security problem to be announced with curl 8.4.0 on Oct 11

We are cutting the release cycle short and will release curl 8.4.0 on October 11, including fixes for a severity HIGH CVE and one severity LOW. The one rated HIGH is probably the worst curl security flaw in a long time.

The new version and details about the two CVEs will be published around 06:00 UTC on the release day.

• CVE-2023-38545: severity HIGH (affects both libcurl and the curl tool)
• CVE-2023-38546: severity LOW (affects libcurl only, not the tool)

There is no API nor ABI change in the coming curl release.

I cannot disclose any information about which version range that is affected, as that would help identify the problem (area) with a very high accuracy so I cannot do that ahead of time. The "last several years" of versions is as specific as I can get.

We have notified the distros mailing list allowing the member distributions to prepare patches. (No one else gets details about these problems before October 11 without a support contract and a good reason.)

Now you know. Plan accordingly.

Found here Severity HIGH security problem to be announced with curl 8.4.0 on Oct 11 · curl/curl · Discussion #12026 · GitHub

Jetzt patchen! Exploits für glibc-Lücke öffentlich verfügbar

Nachdem der Bug in der Linux-Bibliothek glibc am vergangenen Dienstag bekannt wurde, sind nun zuverlässig funktionierende Exploits aufgetaucht.

Eine Sicherheitslücke in der Linux-Kernbibliothek glibc erlaubt Angreifern, die über ein lokales Konto verfügen, eine Rechteausweitung zum Administratorkonto "root". Mehrere IT-Sicherheitsforscher haben nun funktionierende Exploits veröffentlicht, mit denen Angreifer Root-Privilegien erlangen können. IT-Verantwortliche mit Linux-Systemen sollten zügig patchen.

Bereits kurz nach Bekanntwerden der Rechteausweitungs-Schwachstelle mit der CVE-Nummer CVE-2023-4911 in der glibc erschienen nebst Updates für alle großen Distributionen auch erste "Proof of Concept"-Exploits (PoC). Waren diese zu Beginn noch recht langsam und auf einige wenige Systeme begrenzt, ist es nun einem IT-Forscher gelungen, einen zuverlässigen Exploit zu schreiben, den Anwender auf ihre eigenen Systeme anpassen können.

Root werden leichtgemacht

Der Niederländer Peter Geissler veröffentlichte auf seiner Website ein Python-Skript, das auf ungepatchten Systemen eine Rootshell öffnet. Der Clou dieses Exploits: Mit geringen Modifikationen können Pentester das Skript so anpassen, dass es auch auf ihrer Linux-Version läuft. Zumindest, solange die Fehlerkorrekturen dort noch nicht Einzug gehalten haben.

Die Sicherheitslücke in glibc war am vergangenen Dienstag von der Sicherheitsfirma Qualys publik gemacht und prompt von allen großen Distributionen geflickt worden. Betroffen von dem "Looney Tunables" getauften Sicherheitsleck sind alle glibc-Versionen seit 2.34. Aktualisierte Versionen der großen Linux-Distributionen tragen die Versionsnummern

• 2.35-0ubuntu3.4 für Ubuntu 22.04,
• 2.37-0ubuntu2.1 für Ubuntu 23.04,
• 2.31-13+deb11u7 für Debian 11,
• 2.36-9+deb12u3 für Debian 12 sowie
• 2.28-225.el8_8.6 für RHEL 8 respektive
• 2.34-60.el9_2.7 für RHEL9.
• 2.38-4.1 für OpenSUSE Tumbleweed, andere SuSE-Versionen sind nicht betroffen.

Puristen, die ihre glibc selbst kompilieren, müssen derzeit auf die Entwicklungsversion 2.39 setzen, die erst im kommenden Februar planmäßig veröffentlicht werden soll. Die auf der glibc-Website zum Meldungszeitpunkt zum Herunterladen angebotene Version 2.38 ist noch verwundbar.

Admins neigen bisweilen dazu, Exploits zur lokalen Rechteausweitung (Local Privilege Elevation, LPE) zu belächeln, erlauben diese doch keinen direkten Angriff aus der Ferne. In Verbindung mit einer weiteren Sicherheitslücke, etwa wie des aktuellen Confluence-Lecks, das Codeausführung erlaubt, gelingt Angreifern jedoch mittels einer LPE die komplette Übernahme des Rechners. Cyberkriminelle dürften sich die Sicherheitslücke daher bald zunutze machen, um Linux-Systeme zu übernehmen und dann etwa Ransomware zu installieren.

UPDATE06.10.2023 13:49 Uhr

Versionsnummer der bereinigten Version für Debian 11 "Bullseye" auf 2.31-13+deb11u7 korrigiert; Patch-Status zu SuSE eingefügt.

Gefunden auf Jetzt patchen! Exploits für glibc-Lücke öffentlich verfügbar | heise online 

Ungepatchte Schwachstellen im Mail Transfer Agent Exim

Der SMTP-Dienst des freien Mailservers Exim enthält eine kritische Schwachstelle, über die Angreifer beliebigen Code ausführen können. Updates sind unterwegs.

Beschreibung

Der Open Source Mail Transfer Agent (MTA) Exim weist mehrere schwerwiegende ungepatchte Schwachstellen auf. Besonders kritisch ist eine Buffer Overflow Schwachstelle in der SMTP-Implementierung, CVE-2023-42115, die einer entfernten, unauthorisierten angreifenden Person gegebenenfalls das Ausführen von Code mit Rechten des Service Accounts, mit dem Exim betrieben wird, ermöglicht. Sie erreicht daher eine CVSS-Bewertung von 9.8 ("kritisch"). In Folge der Code-Ausführung könnte es Angreifenden unter anderem möglich sein, sensible Daten inkl. transportverschlüsselter E-Mails abfließen zu lassen.

Die Schwachstellen wurden im Juni 2022 an den Hersteller gemeldet und nach Ablauf des für die Entwicklung von Patches eingeräumten Zeitfensters durch die Zero Day Initiative am 27.9.2023 veröffentlicht, ohne dass Patches zur Verfügung stehen. Zur Zeit ist unbekannt, ob und wie die in Entwicklung befindliche Exim-Version 4.97 die Schwachstellen schließen wird.

Empfehlung

Die ZDI empfiehlt als kurzfristige Maßnahme, den Austausch über den Exim-SMTP-Dienst einzuschränken, also die Erreichbarkeit für ausliefernde Mailserver zu beschränken oder den E-Mail-Empfang sicherheitshalber abzuschalten.

Weitere Informationen unter Kritische Lücke im Mailserver Exim | heise online sowie BSI - Bundesamt für Sicherheit in der Informationstechnik - Version 1.0: Ungepatchte Schwachstellen im Mail Transfer Agent Exim

Microsoft AI Researchers Accidentally Expose 38 Terabytes of Confidential Data

Microsoft on Monday said it took steps to correct a glaring security gaffe that led to the exposure of 38 terabytes of private data.

The leak was discovered on the company's AI GitHub repository and is said to have been inadvertently made public when publishing a bucket of open-source training data, Wiz said. It also included a disk backup of two former employees' workstations containing secrets, keys, passwords, and over 30,000 internal Teams messages.

The repository, named "robust-models-transfer," is no longer accessible. Prior to its takedown, it featured source code and machine learning models pertaining to a 2020 research paper titled "Do Adversarially Robust ImageNet Models Transfer Better?"

"The exposure came as the result of an overly permissive SAS token – an Azure feature that allows users to share data in a manner that is both hard to track and hard to revoke," Wiz said in a report. The issue was reported to Microsoft on June 22, 2023.

Full article can be found here Microsoft AI Researchers Accidentally Expose 38 Terabytes of Confidential Data (thehackernews.com)

--- shorter Englisch version see below ---

NSO-Group-Angriff: Notfall-Updates für iPhone, iPad, Mac und Apple Watch

Apple hat am Donnerstagabend nochmals Updates für seine aktuellen Betriebssysteme nachgeschoben. Enthalten sind Fixes für einen aktiven Exploit.

Schnell aktualisieren: Seit Donnerstagabend stehen iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 und watchOS 9.6.2 zum Download bereit. Alle vier Updates für iPhone, iPad, Mac und Apple Watch enthalten nur eine schlichte Angabe im Beipackzettel: "Dieses Update bietet wichtige Sicherheitskorrekturen und wird für alle Benutzer empfohlen."

Vorsicht: Zero-Click-Angriff

Was damit konkret gemeint ist, findet man auf Apples offizieller Supportseite zum Thema Sicherheitsupdates: Dort werden insgesamt zwei Fehler aufgeführt, für die es laut Apple bereits Exploits in freier Wildbahn gibt: "Apple ist ein Bericht bekannt, wonach dieses Problem aktiv ausgenutzt worden sein könnte."

Laut der Forschungsorganisation Citizen Lab an der University of Toronto, die bekannt dafür ist, digitale Spionageangriffe auf Aktivisten, Journalisten oder Politiker aufzudecken, werden die Lücken vom umstrittenen Sicherheitsunternehmen NSO Group eingesetzt, das von Apple bereits verklagt worden war. Von den Forschern wird die Exploit-Kette als "BLASTPASS" bezeichnet. Sie soll ohne Interaktion eines Benutzers zu einer Infektion geführt haben – als sogenannter Zero-Click-Angriff. Welche Opfer bislang angegriffen wurden, hat Citizen Lab noch nicht mitgeteilt.

Mindestens zwei ausgenutzte Lücken

Die Attacke erfolgte laut der Sicherheitsforscher über PassKit-Anhänge mit bösartigen Bildern, die von einem iMessage-Konto des Angreifers an das Opfer gesendet wurden. Weitere technische Details sollen nachgereicht werden. Besonders anfällig sind laut Apple iOS 16.6 und iPadOS 16.6 sowie vermutlich auch frühere Versionen. Hier gibt es Lücken in der Bildverarbeitungsroutine ImageIO (CVE-2023-41064), die über ein manipuliertes Bild zur Ausführung unerwünschten Codes gebracht werden kann (Apple macht keine Angaben, mit welchen Rechten dies erfolgt).

Weiterhin ist die Wallet-App für die Verwaltung von Kreditkarten und Verkehrstickets betroffen (CVE-2023-41061), der man einen manipulierten Anhang unterjubeln konnte. Auch dies führt zur Ausführung beliebigen Codes. Behoben wurden beide Fehler durch verbesserte Speicherbehandlung (ImageIO) beziehungsweise "eine verbesserte Logik" (Wallet).

Mac und Apple Watch

Der Fehler in ImageIO steckt auch in macOS, Version 13.5.2 behebt ihn. Der Wallet-Bug fehlt hier allerdings. In watchOS 9.6.2 wurde wiederum nur das Wallet-Problem behoben, hier scheint es via ImageIO keine Angriffsmöglichkeit zu geben.

Interessanterweise handelt es sich bei den Updates nicht um die neuen "schnellen Sicherheitsmaßnahmen" von Apple in Form der sogenannten Rapid Security Response (RSR). Stattdessen werden alle vier Aktualisierungen regulär über die Softwareaktualisierung verteilt und benötigen vollständige Neustarts.

Gefunden auf NSO-Group-Angriff: Notfall-Updates für iPhone, iPad, Mac und Apple Watch | heise online

Bitte führen Sie die Updates durch und bleiben Sie sicher!

Viele Grüße,
Ihr Informationssicherheitsmanagement-Team

------------------------------------------

On behalf of the Chief Information Security Officer and the RHRZ, a message on heise should urgently draw attention to the fact that Apple products must be updated immediately!

There are several critical security vulnerabilities for which Apple has pushed updates for its current operating systems on Thursday evening. Included are fixes for an active exploit. 

Quick update: iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 and watchOS 9.6.2 have been available for download since Thursday evening. All four updates for iPhone, iPad, Mac, and Apple Watch contain only one simple statement in the package insert: "This update provides important security fixes and is recommended for all users."

Caution: Zero-click attack

What is meant by this can be found on Apple's official support page on the subject of security updates: There are a total of two bugs listed, for which, according to Apple, there are already exploits in the wild: "Apple is aware of a report that this problem may have been actively exploited."

According to the research organization Citizen Lab at the University of Toronto, which is known for uncovering digital espionage attacks on activists, journalists or politicians, the vulnerabilities are used by the controversial security company NSO Group, which had already been sued by Apple. The researchers refer to the exploit chain as "BLASTPASS". It is said to have led to an infection without user interaction – as a so-called zero-click attack. Citizen Lab has not yet announced which victims have been attacked so far.

At least two exploited vulnerabilities

According to the security researchers, the attack was carried out via PassKit attachments with malicious images sent to the victim from an iMessage account of the attacker. Further technical details are to be submitted later. 

According to Apple, iOS 16.6 and iPadOS 16.6 are particularly vulnerable, as are probably earlier versions. There are vulnerabilities in the image processing routine ImageIO (CVE-2023-41064), which can be used to execute unwanted code via a manipulated image (Apple does not specify the rights with which this is done).

Furthermore, the wallet app for managing credit cards and traffic tickets is affected (CVE-2023-41061), which could be foisted with a manipulated attachment. This also leads to the execution of arbitrary code. Both bugs have been fixed by improved memory handling (ImageIO) and "improved logic" (wallet) respectively.

Mac and Apple Watch

The bug in ImageIO is also in macOS, version 13.5.2 fixes it. However, the wallet bug is missing here. In watchOS 9.6.2, only the wallet problem has been fixed, there seems to be no possibility of attack via ImageIO.

Interestingly, the updates are not Apple's new "rapid security measures" in the form of the so-called Rapid Security Response (RSR). Instead, all four updates are regularly distributed through Software Update and require full reboots.

For more detailed information, see  NSO-Group-Angriff: Notfall-Updates für iPhone, iPad, Mac und Apple Watch | heise online 

Please carry out the updates and stay safe!

Kind regards,
Your Information Security Management Team

Webbrowser: Hochriskante Schwachstellen in Google Chrome geschlossen

Google stopft mit aktualisiertern Chrome-Versionen vier als hochriskant eingestufte Sicherheitslücken.

Googles Entwickler haben dem Webbrowser Chrome das wöchentliche Update verpasst. Es enthält Fehlerkorrekturen für vier als hochriskant eingestufte Sicherheitslücken. Wer Chrome nutzt, sollte daher zügig den Einsatz der neuen Version sicherstellen.

Zu der Höhe von vergebenen Bug-Prämien hat das Unternehmen noch nichts entschieden. In der Versionsankündigung erläutern Googles Entwickler jedoch, dass etwa Speicherzugriffe außerhalb vorgesehener Grenzen in der FedCM-Komponente möglich waren. Der Fehlerbeschreibung zufolge können Angreifer mit manipulierten HTML-Seiten den Renderer-Prozess kompromittieren und Speicher außerhalb der vorgegebenen Grenzen lesen (CVE-2023-4761, kein CVSS-Wert, Risiko "hoch").

Vier Sicherheitslücken mit hohem Risiko

Zudem können bösartige Akteure mit präparierten Webseiten eine Type-Confusion-Schwachstelle in der Javascript-Engine V8 missbrauchen, um dadurch Schadcode einzuschleusen (CVE-2023-4762, kein CVSS-Wert, hoch). Bei dieser Schwachstellenart passen tatsächlich vorliegende Datentypen nicht mit denen im Programmcode vorgesehenen überein, was in Speicherzugriffe außerhalb der allokierten Bereiche münden kann.

Zudem können Angreifer aufgrund einer Use-after-free-Lücke im Netzwerkcode von Chrome möglicherweise eine Speicherverwürfelung auf dem Heap auslösen und für Codeschmuggel missbrauchen (CVE-2023-4763, kein CVSS-Wert, hoch). In der BFCache-Komponente von Chrome können bösartige Akteure eine Sicherheitslücke ausnutzen, um auf manipulierten Webseiten die Inhalte der Omnibox genannten Adressleiste zu fälschen (CVE-2023-4764, kein CVSS-Wert, hoch).

Die jetzt aktuellen, abgesicherten Browser-Versionen sind 116.0.5845.172 für Android, 116.0.5845.177 für iOS, 116.0.5845.179 für Linux und macOS sowie 116.0.5845.179/.180 für Windows. Googles Programmierer ergänzen, dass die Extended Stable-Versionen ebenfalls auf einen neuen Stand gehievt wurden, und zwar 116.0.5845.179 für macOS und 116.0.5845.180 für Windows.

Browser-Versionsprüfung

Ob der Browser auf dem aktuellen Stand ist, lässt sich durch Aufrufen des Versionsdialogs herausfinden. Der befindet sich im Einstellungsmenü, das sich durch Klick auf das Symbol mit den drei aufeinander gestapelten Punkten rechts der Adressleiste des Browsers öffnet. Über den Weg "Hilfe" - "Über Google Chrome" lässt er sich starten.

Grfunden auf Webbrowser: Hochriskante Schwachstellen in Google Chrome geschlossen | heise online

VMware Tools: Schwachstelle ermöglicht Angreifern unbefugte Aktionen in Gästen

VMware warnt vor einer Sicherheitslücke in VMware Tools. Sie ermöglicht eine Man-in-the-Middle-Attacke auf Gastsysteme.

In den VMware-Tools klafft eine Sicherheitslücke, die Angreifern in einer Man-in-the-Middle-Position zwischen vCenter Server und virtueller Maschine unbefugte Zugriffe und Aktionen ermöglicht. Updates stehen bereit, die die Schwachstelle ausbessern sollen.

Die VMware Tools sollen eine bessere Verwaltung und nahtlose Benutzerinteraktion mit Gastbetriebssystemen ermöglichen. Sie verbessern etwa die Performance signifikant und dürften von den meisten Nutzerinnen und Nutzern daher standardmäßig installiert werden.

Umgehung der Prüfung von Sicherheits-Token

Die Lücke besteht in einer möglichen Umgehung der Überprüfung von sogenannten SAML-Token. Die übertragen etwa Authentifizierungsinformationen. Bösartige Akteure können an einer Man-in-the-Middle-Position zwischen dem vCenter Server und der virtuellen Maschine die Prüfung des SAML-Tokens umgehen und dadurch Operationen im Gast mit den VMware Tools vornehmen. Die sind potenziell vollumfänglich, da die VMware-Tools Treiber etwa für Grafikausgabe, Tastatur, Maus, Laufwerks- und Netzwerkzugriffe bereitstellen. Die Entwickler stufen die Lücke daher als ernste Bedrohung ein (CVE-2023-20900, CVSS 7.5, Risiko "hoch").

Temporäre Gegenmaßnahmen nennt VMware nicht. In der Sicherheitsmeldung listen sie jedoch die fehlerbereinigten Versionen der VMware Tools auf. Die Version 12.3.0 korrigiert den Fehler unter Linux und Windows für die betroffenen Zweige 10.3.x, 11.x.x sowie 12.x.x. Unter Linux gibt es zudem für ältere Releases die Fassung 10.3.26. Die Version mit Fehlerkorrektur hänge von der Version der Linux-Distribution und dem "Distributor" ab.

Auf der aktuellen Download-Seite für Windows sowie auf der Seite für Linux finden sich die Software-Pakete mit den Korrekturen. Für Linux steht dort lediglich die 10.3.26er-Version bereit, neuere Pakete kommen von der Distribution in der Regel als Paket open-vm-tools.

Erst am Mittwoch dieser Woche hatte VMware eine kritische Sicherheitslücke in VMware Aria Operations for Networks schließen müssen. Sie ermöglicht Angreifern den Zugriff ohne vorherige Anmeldung.

Gefunden auf VMware Tools: Schwachstelle ermöglicht Angreifern unbefugte Aktionen in Gästen | heise online

Entwickler von Notepad++ ignoriert offensichtlich Sicherheitslücken

Mehrere Sicherheitslücken gefährden den Texteditor Notepad++. Trotz Informationen zu den Lücken und möglichen Fixes steht ein Sicherheitsupdate noch aus.

Wer Notepad++ unter Windows nutzt, macht sein System attackierbar. Sicherheitsforscher haben Ende April 2023 vier Sicherheitslücken an den Entwickler gemeldet – seitdem hat sich aber nicht viel getan. Im schlimmsten Fall kann nach erfolgreichen Attacken Schadcode auf Computer gelangen.

Auf die Schwachstellen sind Sicherheitsforscher vom GitHub Security Lab gestoßen. In einem Beitrag schildern sie Informationen zu den Lücken und wie der Kontakt mit dem Verantwortlichen verlaufen ist. Seit dem Melden der Schwachstellen vor rund vier Monaten sind zwar schon einige neue Versionen des Texteditors erschienen, den Forschern zufolge bestehen die Sicherheitsprobleme aber nach wie vor – inklusive der aktuellen Ausgabe v8.5.6.

Die Lücken

Bei der Umwandlung von UTF16 zu UTF8 kann es zu Fehlern kommen, die einen Buffer Overflow auslösen (CVE-2023-40031 "hoch"). Darüber können Angreifer Schadcode auf Systeme schieben und ausführen. Wie eine konkrete Attacke aussehen könnte, führen die Forscher derzeit nicht aus. In jedem Fall muss ein Opfer eine präparierte Datei öffnen.

Die drei verbleibenden Schwachstellen (CVE-2023-40036. CVE-2023-40164. CVE-2023-40166) sind mit dem Bedrohungsgrad "mittel" eingestuft. Was nach einer erfolgreichen Attacke passiert, ist zurzeit unklar. Die Forscher gehen davon aus, dass über die Schwachstelle Informationen leaken können.

Wann kommt der Sicherheitspatch?

Die Forscher geben an, dass die Kommunikation mit dem Entwickler zäh verläuft. Eigenen Angaben zufolge haben sie schon in ihren ersten Nachrichten Informationen zum Schließen der Schwachstellen mitgeteilt. Eine Antwort auf eine Anfrage von heise Security an den Entwickler steht noch aus.

Gefunden auf Entwickler von Notepad++ ignoriert offensichtlich Sicherheitslücken | heise online

Hochriskante Sicherheitslücken in 7-Zip ermöglichen Codeschmuggel

Das Archiv-Werkzeug 7-Zip schließt mit neuer Version hochriskante Sicherheitslücken. Einen integrierten Update-Mechanismus gibt es nicht. Handarbeit ist nötig.

Das Archiv-Werkzeug 7-Zip schließt mit aktualisierten Installationspaketen zwei Sicherheitslücken, durch die Angreifer Opfern Schadcode unterschieben können. Dazu reicht das Öffnen sorgsam präparierter Dateien aus. Daher sollten Nutzerinnen und Nutzer das bereitstehende Update zügig installieren.

Die Sicherheitslücken schließt bereits Version 23.00 von 7-Zip, die Ende Mai veröffentlicht wurde. Inzwischen ist Version 23.01 aus dem Juni aktuell und auf der Download-Seite von 7-Zip verfügbar.

Die Zero-Day-Initiative hat die Lücken gefunden und gemeldet. Einerseits kann der Parser für SquashFS-Dateiabbilder außerhalb der allozierten Speicherbereiche schreiben, da er übergebene Daten nicht ausreichend überprüft. Angreifer können die Lücke nutzen, indem sie Opfer dazu bringen, entsprechend manipulierte Dateien zu öffnen (CVE-2023-40481, CVSS 7.8, Risiko "hoch").

Beim Verarbeiten von 7-Zip-Archiven kann hingegen ein Integer-Unterlauf auftreten, da der Code Werte darin nicht ausreichend vor der Nutzung überprüft und filtert. Auch den Fehler können präparierte Archive auslösen (CVE-2023-31102, CVSS 7.8, hoch).

Das Changelog zu Version 23.00 von 7-Zip erwähnt die Korrektur von Sicherheitslücken nicht. Da inzwischen Version 23.01 verfügbar ist, sollte die Aktualisierung gleich auf diese Version erfolgen.

EMPFEHLUNG: manuelles Update!

7-Zip hat keinen integrierten Update-Mechanismus, weder um manuell anzustoßen noch eine automatische Fassung. Daher müssen 7-Zip-Nutzerinnen und -Nutzer das Installationspaket selbst herunterladen und ausführen, um die Software auf den korrigierten Stand zu bringen. Unter Linux hilft hingegen die Software-Verwaltung der eingesetzten Distribution bei der Update-Suche und Installation davon.

Erst kürzlich wurden Schwachstellen im Archivprogramm WinRAR bekannt. Auch hier hätten Angreifer mit manipulierten Dateien Opfern Schadcode unterjubeln können.

Gefunden auf Jetzt updaten! Hochriskante Sicherheitslücken in 7-Zip ermöglichen Codeschmuggel | heise online

WinRAR-Lücke weitreichender als gedacht

Am Wochenende wurde eine Sicherheitslücke in WinRAR bekannt. Die wirkt sich auf andere Software aus. Zudem gibt es weitere, bereits missbrauchte Lecks darin.

Die Auswirkungen einer kritischen Sicherheitslücke in der populären Archivsoftware WinRAR reichen weiter als zunächst gedacht. Auch andere Programme als WinRAR sind davon mutmaßlich betroffen. IT-Sicherheitsforscher haben zudem eine weitere Sicherheitslücke in der Software aufgespürt, die bereits seit April dieses Jahres von Cyberkriminellen missbraucht wurde.

Am vergangenen Wochenende wurde bekannt, dass eine kritische Sicherheitslücke in WinRAR von Angreifern zum Einschmuggeln beliebigen Programmcodes missbraucht werden konnte (CVE-2023-40477, CVSS 7.8, Risiko "hoch"). Das Problem basierte auf einer mangelhaften Prüfung von Daten in sogenannten Recovery Volumes für RAR-Archive, durch die außerhalb der vorgesehenen Speicherbereiche Schreibzugriffe möglich waren. Bereits das Öffnen sorgsam präparierter Archive reicht aus, um so Schadcode auf verwundbare Rechner zu schleusen.

Lücke wahrscheinlich auch in anderen Programmen

Das Update auf WinRAR 6.23, das die Sicherheitslücke schließt, wurde ab dem 2. August verteilt. Allerdings blieb bislang weitgehend unbeachtet, dass die Bibliotheken unrar.dll und unrar64.dll von Rarlabs vermutlich ebenfalls verwundbar waren und anderer Software beiliegen. Ein Update für den populären Datei-Manager Total Commander etwa korrigiert den Fehler explizit: "Kritische Sicherheitslücke in unrar.dll (von RARLAB) behoben, auch als separater Download verfügbar" schreiben die Entwickler dort im Changelog. Im Forum konkretisiert der Programmierer Ghisler jedoch, dass niemand genau wisse, ob unrar.dll anfällig sei.

Andreas Marx von AV-Test hat heise Security kontaktiert und schrieb uns, dass er "über 400 Programme, die 'unrar.dll' bzw. 'unrar64.dll' verwenden (mit einer letzten Aktualisierung vor dem 01. August 2023) in unserer Clean File Datenbank gefunden" hat. Antivirensoftware setzt häufig ebenfalls öffentlich verfügbare Bibliotheken ein und könnte anfällig sein – immerhin dürften die Hersteller gegebenenfalls die automatischen Update-Mechanismen zum Verteilen fehlerbereinigter Fassungen nutzen. Das Windows-interne ZIP-Tool soll in Kürze ebenfalls Unterstützung für RAR-Archive mit der Code-Basis von libarchive erhalten. Allerdings basiert der öffentlich verfügbare Rarlab-unrar-Code auf C++, während libarchive eine vermutlich eigene C-Implementierung verwendet. Bis zur Veröffentlichung hätte Microsoft im Zweifel noch Zeit, die potenzielle Schwachstelle anzugehen.

Zero-Day-Lücke

Die IT-Sicherheitsforscher von GroupIB schreiben in einem Blog-Eintrag derweil über eine Malware "DarkMe", die sie am 10. Juli dieses Jahres untersucht haben. Diese habe eine Sicherheitslücke in der Verarbeitung von ZIP-Formaten in WinRAR missbraucht, um Schadcode auf Rechnern von Opfern zu schleusen und auszuführen. Die Lücke ermöglicht das Verschleiern von Dateiendungen, sodass in den präparierten Archiven vermeintliche Bilder als .jpg oder Dokumente als .txt aufgelistet wurden (CVE-2023-38831, noch keine CVSS-Einstufung). Dahinter befand sich jedoch Malware, die von Opfern unwissentlich per Doppelklick gestartet wurde.

Manipulierte ZIP-Dateien seien von Cyberkriminellen in Handelsforen verteilt worden, die die Schädlinge DarkMe, GuLoader oder Remcos RAT enthielten und das Abziehen von Geld der Broker erlaubten, die den Schadcode ausgeführt haben. Es seien derzeit noch 130 Geräte von Händlern infiziert. Die Angriffe fanden seit dem April 2023 statt. WinRAR 6.23 schließt auch diese Schwachstelle.

Empfehlung

Sofern das noch nicht geschehen ist, sollten WinRAR-Nutzer auf die aktuelle Fassung der Software aktualisieren. Zudem dürften weitere Programme in Kürze Aktualisierungen anbieten, die verwundbare unrar-Bibliotheken mitbringen und verwenden.

Gefunden auf WinRAR-Lücke weitreichender als gedacht | heise online

Windows-Update-Vorschau: Möglicher Boot-Abbruch wegen nicht unterstützter CPU

Microsoft untersucht Meldungen, denen zufolge nach der Installation der jüngst veröffentlichten Windows-Update-Vorschauen der Bootvorgang mit der Fehlermeldung "UNSUPPORTED_PROCESSOR" abbrechen kann. Möglicherweise deinstalliere sich das Update daraufhin automatisch, um Windows in einen startbaren Zustand zu bringen.

Die Update-Vorschau behebt einige Fehler, die die Systemsicherheit beeinflussen. So liefert das Paket einen Schutz vor der Downfall-Intel-CPU-Lücke und korrigiert Probleme im Kontext der Festplattenverschlüsselung mit Bitlocker.

Einige Meldungen erhalten

In den Windows Release Health-Notizen schreiben die Entwickler, dass sie mehrere Meldungen erhalten hätten, nach denen Nutzer einen Blue Screen mit der Fehlermeldung "UNSUPPORTED_PROCESSOR" nach der Installation der Update-Vorschauen vom Ende August beim Startvorgang zu Gesicht bekommen haben.

Empfehlung

Damit Windows wie erwartet starte, könne sich das Update automatisch wieder deinstallieren. Einerseits ist das eine gute Nachricht, da der Rechner benutzbar bleibt. Andererseits fehlen dann Schutzmaßnahmen, von denen Nutzerinnen und Nutzer ausgehen, dass sie nun aktiv seien. Falls jemand auf dieses Problem stoße, bitten Microsofts Entwickler um eine Meldung durch den integrierten Feedback-Hub, der sich durch gleichzeitiges Drücken der Tasten Windows und F öffnet.

Die Entwickler untersuchen demnach derzeit, ob die Fehlerursache bei Microsoft liegt. Da Windows 11 viele ältere Prozessoren offiziell nicht mehr unterstützt, sich mit Kniffen das Betriebssystem darauf jedoch dennoch installieren lässt, liegt die Idee nahe, dass hier eine Prüfung solche Installationen unterbinden soll. Da von dem Problem jedoch auch Windows 10-Installationen betroffen sind, lässt sich das eigentlich ausschließen. Es bleibt zu hoffen, dass Microsoft das Problem bis zum offiziellen Patchday Mitte September beheben kann.

-----------------------------------------------------------------------------------

Gefunden auf Windows-Update-Vorschau: Möglicher Boot-Abbruch wegen nicht unterstützter CPU | heise online

Bitte beachten Sie auch die englische Version dieser Sicherheitswarnung vom 24.08.2023.

Wie Microsoft einen Daten-GAU vertuscht

Microsoft hat Angriffe mutmaßlich chinesischer Hacker bekämpft. Die als Storm-0558 bezeichneten Angreifer hatten es auf die Daten von Kunden der Microsoft-Cloud-Dienste abgesehen. Damit könnte diese Geschichte enden, aber sie beginnt gerade erst. Verblüffend ist zunächst, dass bislang weder das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch andere europäische Fachbehörden eine Einschätzung der Relevanz und Bedeutung des Vorfalls äußerten oder Hinweise gaben, wer womöglich betroffen sein könnte. Das laute Schweigen hat jetzt die Fachzeitschrift „c’t“ mit einem Blick hinter die Kulissen beendet.

Hintergrund - Was ist passiert?

Es lässt sich knapp zusammenfassen: Mit einem erbeuteten Schlüssel konnten Angreifer beliebig und wochenlang auf alle Daten in Microsofts Cloud-Diensten wie etwa Outlook, Office 365, Onedrive oder Teams zugreifen. Dieser Schlüssel ist das Kronjuwel eines Cloud-Anbieters, und Microsoft hat sich nicht nur den Schlüssel stehlen lassen, sondern dieser war zudem unzureichend aufbewahrt, wie sich jetzt herausstellt.

Es kommt aber noch schlimmer: Der gestohlene Schlüssel stammt aus dem Endkundenbereich, hätte sich also gar nicht für das Öffnen von Enterprise-Anwendungen eignen dürfen. Ausspioniert von den Hackern wurden in erster Linie Regierungen und Behörden. Mittlerweile ist der Schlüssel gesperrt, aber man weiß nicht, was die Hacker in der Microsoft-Cloud gelesen oder manipuliert haben. Vielleicht haben sie dort Hintertüren platziert. Das ist ungeklärt. Microsoft hält sich bedeckt, die betroffenen Regierungen auch, der GAU wird allerorten geradezu vertuscht: Gehen Sie weiter, es gibt hier nichts zu sehen.

Gefunden auf Wie Microsoft einen Daten-GAU vertuscht: Chinesische Hacker in der Cloud (faz.net)

Windows-Update: New Windows updates cause UNSUPPORTED_PROCESSOR blue screens

Microsoft says the August 2023 preview updates released this week for Windows 11 and Windows 10 systems are causing blue screens with errors mentioning an unsupported processor issue. The updates in question are tagged as KB5029351 (Windows 11) and KB5029331 (Windows 10), and they come with Search app fixes and introduce a new Backup app, respectively.

The complete list of affected platforms includes Windows 10 21H2/22H2 and Windows 11 22H2.

"Microsoft has received reports of an issue in which users are receiving an 'UNSUPPORTED_PROCESSOR' error message on a blue screen after installing updates released on August 2," Redmond said.

The company also added that the problematic cumulative updates "might automatically uninstall to allow Windows to start up as expected." Some customers who experienced this issue reported [1, 2] have already confirmed that the buggy optional updates were automatically rolled back after several reboots. Microsoft is investigating the newly acknowledged known issue to find out whether it stems from a Microsoft-related cause.

The company also urged users encountering these BSOD errors to file a report using the Feedback Hub. To do that, you will have to go through the following steps:

1. ​Launch Feedback Hub by opening the Start menu and typing "Feedback hub", or pressing the Windows key + F
2. ​Fill in the "Summarize your feedback" and "Explain in more detail" boxes, then click Next.
3. ​Under the "Choose a category" section, click the "Problem" button, and select "Install and Update" category. Then select "Downloading, installing, and configuring Windows Update" subcategory. Click Next.
4. ​Under the "Find similar feedback" section, select the "Make new bug" radio button and click Next.
5. ​Under the "Add more details" section, supply any relevant detail (Note this is not critical to addressing your issue).
6. ​Expand the "Recreate my problem" box and press "Start recording". Reproduce the issue on your device.
7. ​Press "Stop recording" once finished. Click the "Submit" button.

This week, Microsoft also introduces a new Windows 11 policy providing administrators with better control over how monthly non-security preview updates are delivered on enterprise devices.

Once enabled, users can choose between having optional updates installed automatically or manually selecting the ones they want to receive.

Related Articles:

Microsoft fixes bug that breaks video recording in Windows apps

Microsoft fixes bug that breaks Windows Start Menu, UWP apps

Windows 11 KB5029351 preview update released with Search fixes

Windows Task Manager refresh can be paused using CTRL key

Microsoft August 2023 Patch Tuesday warns of 2 zero-days, 87 flaws

-----------------------------------------------------------------------------------------------------

Found here New Windows updates cause UNSUPPORTED_PROCESSOR blue screens (bleepingcomputer.com)

Please consider to also read the German Version of this warning from 25.08.2023.

Citrix: Updates schließen kritische Zero-Day-Lücke in Netscaler ADC und Gateway

Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt, dass Angreifer durch die Lücke die Kontrolle über betroffene Geräte übernehmen können. Weitergehende Details zu den Schwachstellen nennt Citrix in der Sicherheitsmeldung nicht. Allerdings benennt der Hersteller die Art der Lücken: 

Citrix ADC and Citrix Gateway Security Bulletin for CVE-2023-3519, CVE-2023-3466, CVE-2023-3467.

Citrix: Kritische Lücke wird bereits angegriffen

Die kritische, bereits in freier Wildbahn missbrauchte Sicherheitslücke betreffe Citrix ADC und Citrix Gateway – die älteren Namen der Produkte –, erläutert Citrix, und erlaube ohne vorherige Anmeldung das Ausführen von Schadcode. Die Appliance müsse dafür als Gateway in der Form als VPN Virtual Server, ICA Proxy, CVPN, RDP Proxy oder als AAA Virtual Server konfiguriert sein (CVE-2023-3519, CVSS 9.8, Risiko "kritisch").

Zudem könnten Angreifer potenzielle Opfer im gleichen Netzwerk wie eine NSIP (NetScaler IP) überzeugen, einem manipulierten Link zu folgen, und so eine Reflected Cross Site Scripting-Lücke (XSS) missbrauchen (CVE-2023-3466, CVSS 8.3, hoch). Angemeldete Nutzer mit Zugriff auf das Management-Interface von NSIP oder SNIP können zudem ihre Rechte auf root respektive Administrator ausweiten (CVE-2023-3467, CVSS 8.0, hoch).

Temporäre Gegenmaßnahmen erläutert Citrix nicht, sondern empfiehlt IT-Verantwortlichen dringend, die aktualisierten Software-Versionen so schnell wie möglich zu installieren. Die Fehler beheben die Versionen NetScaler ADC und NetScaler Gateway 13.1-49.13 sowie 13.0-91.13 und neuere Versionen und NetScaler ADC 13.1-FIPS 13.1-37.159, 12.1-FIPS 12.1-55.297 sowie 12.1-NDcPP 12.1-55.297 und jeweils neuere Fassungen. Das Unternehmen betont, dass Netscaler DAC und Gateway 12.1 am End-of-Life angekommen seien und Kunden daher zu empfehlen sei, ein Upgrade der Appliances auf noch unterstützte Versionen vorzunehmen, um die Schwachstellen abzudichten.

Erst in der vergangenen Woche hat Citrix kritische Sicherheitslücken in den Secure Access Clients abdichten müssen. Die neue, bereits angegriffene Zero-Day-Lücke zeigt, dass Administratoren Schwachstellen in Citrix-Software zügig bei Verfügbarkeit installieren sollten.

Empfehlung

Nachzulesen unter Citrix: Updates schließen kritische Zero-Day-Lücke in Netscaler ADC und Gateway | heise online

IT-Verantwortliche sollten zügig aktualisieren: Citrix hat Updates für bereits angegriffene Lücken in Netscaler ADC und Gateway veröffentlicht.

Angriffsspuren auf Netscaler ADC und Gateway aufspüren

Vor der Verfügbarkeit von Updates wurden CItrix-Lücken bereits in freier Wildbahn angegriffen. Daher ist eine Überprüfung auf Angriffsspuren sinnvoll.

Zum Mittwoch dieser Woche hat Citrix Updates veröffentlicht, die Zero-Day-Lücken in Netscaler ADC und Gateway, ehemals Citrix ADC und Gateway, stopfen. Die Lücke wurde bereits ausgenutzt, bevor Patches dagegen bereitstanden. Daher sollten IT-Verantwortliche überprüfen, ob ihre Systeme bereits angegriffen wurden.

Cyberkriminelle sind bei der als Shitrix bekannt gewordenen Schwachstelle im Jahre 2019 öfter so vorgegangen, dass sie zunächst eine Backdoor nach einem Einbruch installiert haben. Die war dann auch nach dem Installieren der Patches aktiv und ermöglichte späteren Zugriff. Etwa bei einer Cyber-Erpressung nach einem Angriff auf die Universitätsklinik Düsseldorf gingen die Täter so vor.

Citrix-Schwachstelle: Hochgefährlich

Bei der Lücke CVE-2023-3519 handelt es sich um eine sogenannte Unauthenticated Remote Code Execution-Lücke in einem aus dem Internet erreichbaren Dienst. Das ist die aller oberste Gefahrenkategorie, da Angreifer mit einem entsprechenden Exploit innerhalb kürzester Zeit viele verwundbare Systeme angreifen und übernehmen können.

Eine Anleitung ist jetzt auf deyda.net erschienen, mit der sich die eigenen Citrix-Systeme auf Einbruchsspuren untersuchen lassen. Demnach lassen sich Angriffe nur über veränderte Datei-Zeitstempel erkennen. Die Zeitstempel ändern sich eigentlich nur mit den Netscaler-Updates, daher müssen Administratoren den Zeitpunkt der letzten Aktualisierung kennen. Dies lasse sich etwa am Datum der entpackten Installationspakete erkennen.

Die Anleitung liefert noch einige weitere Einbruchsindizien (Indicators of Compromise, IOCs), die IT-Verantwortliche möglichst bald abprüfen sollten. Weiter liefern die Autoren Tipps, wie Administratoren vorgehen sollten, wenn sich der Verdacht der Kompromittierung bestätigt.

Weitere Infos unter Citrix-Zero-Days: Angriffsspuren auf Netscaler ADC und Gateway aufspüren | heise online.

Microsoft Sicherheitslücke (CVE-2023-36884, CVSS 8.3) in Office

Sehr geehrte Kolleginnen und Kollegen,

wie Sie vielleicht wissen, hat Microsoft eine hoch eingestufte Sicherheitslücke (CVE-2023-36884, CVSS 8.3) in Office festgestellt. Diese Sicherheitslücke wird bereits aktiv ausgenutzt, um Schadcode einzuschleusen und Zugriff auf Systeme zu erlangen.

Aktionsplan

Bis ein Sicherheitspatch von Microsoft bereitgestellt wird, empfiehlt Microsoft, bestimmte Änderungen in der Registry vorzunehmen, um die Ausnutzung der Sicherheitslücke zu verhindern.

Wir haben in unserer zentralen Active Directory Gruppenrichtlinie eine Änderung vorgenommen, um die von Microsoft empfohlenen Registry-Keys zu setzen. Die betroffenen Registry-Einträge sind:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION mit den jeweiligen Anwendungen als DWORD mit dem Wert 1 erstellt.

Die Anwendungen sind:

• Excel.exe
• Graph.exe
• MSAccess.exe
• MsPub.exe
• PowerPoint.exe
• Visio.exe
• WinProj.exe
• WinWord.exe
• Wordpad.exe

Diese Maßnahme soll verhindern, dass die Sicherheitslücke ausgenutzt wird.

Warnung und Empfehlung

Bitte beachten Sie, dass wir zu diesem Zeitpunkt noch nicht abschätzen können, ob diese Änderung unerwünschte Auswirkungen haben könnte.

In der Zwischenzeit empfehlen wir dringend, vorsichtig mit unbekannten oder unerwarteten Office-Dokumenten umzugehen und keine Dateien zu öffnen, die von unbekannten Absendern stammen.

Für Rückfragen steht Ihnen das AD-Team des RHRZ sowie die hotline und das Support Team des RHRZ zur Verfügung.

Häufiger Cyberangriffe auf
Verwaltungen und Arztpraxen

Öffentliche Verwaltungen, Hochschulen und Arztpraxen seien häufiger im Visier von Kriminellen, sagte BKA-Chef Münch. Solche Angriffe könnten massive wirtschaftliche und gesellschaftliche Folgen haben.

Cyberkriminelle haben es immer öfter auf öffentliche Verwaltungen, Hochschulen und Arztpraxen in Deutschland abgesehen, warnte BKA-Chef Holger Münch. "Die Bedrohung durch Cybercrime steigt seit Jahren und verursacht teils massive wirtschaftliche und gesellschaftliche Schäden", sagte Münch den Zeitungen der Funke Mediengruppe.

Solche Angriffe könnten massive Folgen haben. Dadurch könnten zum Beispiel Verwaltungen über Wochen arbeitsunfähig sein. Mehr noch: In vielen Fällen könnten Systeme verschlüsselt und auch sensible Daten abgegriffen werden.

Vergleichsweise niedrige Hürden für Cyberkriminelle

Falls die technischen Hürden dann auch noch niedrig sind, ist das Münch zufolge "für die Kriminellen schnell attraktiv und in der Folge lukrativ".

Wesentlich schwieriger gestalte sich dagegen die Strafverfolgung. Sie sei langwierig und werde einmal mehr erschwert, da die Täter sich in der Regel im Ausland aufhielten.

Strafverfolgung verbucht auch Erfolge

Doch die Strafverfolgungsbehörden seien zuletzt auch erfolgreich gewesen, etwa gegen illegale Online-Marktplätze wie "Hydra Market" oder den Geldwäsche-Dienst "ChipMixer".

"In Summe haben wir in diesen beiden Fällen über hundert Millionen Euro beschlagnahmt und der kriminellen Szene so ihr Geld, ihre Kunden und ihre Werkzeuge weggenommen", sagte Münch.

Gefunden auf BKA-Präsident warnt vor Cyberangriffen in Deutschland | tagesschau.de

Kernel-Schwachstelle ermöglicht Rechteausweitung unter Linux

Durch eine Sicherheitslücke im Speichermanagement-Subsystem des Linux-Kernels können Angreifer potenziell erweiterte Rechte erlangen.

Nähere Informationen zu finden unter Stackrot: Kernel-Schwachstelle ermöglicht Rechteausweitung unter Linux - Golem.de.

Versionsprüfung

Administratoren wird empfohlen, die jeweilige Kernel-Version ihrer Linux-Systeme zu prüfen und gegebenenfalls auf eine vor der Ausnutzung von CVE-2023-3269 geschützte Version zu aktualisieren.

Firefox 115 und Thunderbird 102.13 dichten Sicherheitslecks ab

Die Mozilla-Foundation hat Firefox 115, Firefox ESR 115 und Thunderbird 102.13 veröffentlicht. Die neuen Versionen schließen zahlreiche Sicherheitslücken.

Nähere Informationen zu finden unter Firefox 115 und Thunderbird 102.13 dichten Sicherheitslecks ab | heise online.

Versionsprüfung

Da die geschlossenen Lücken teils als hochriskant eingestuft wurden, sollten Firefox-Nutzer sicherstellen, dass die aktuelle Version bereits bei ihnen läuft. Andernfalls laufen sie Gefahr, sich beim Besuch einer manipulierten Webseite Malware einzufangen.

iOS 16.5.1 & Co: Apple beseitigt Zero-Day-Lücken in allen Systemen

Die gravierenden Schwachstellen wurden offenbar ausgenutzt, um Überwachungs-Tools auf Apple-Hardware einzuschleusen. Patches gibt es auch für ältere Hardware.

Großer Update-Reigen bei Apple: Für iPhones, iPads, Macs und Apple Watches – auch für ältere Geräte – steht eine frische Version des jeweiligen Betriebssystems zum Download bereit, das gravierende Sicherheitslücken beseitigt. Das Unternehmen empfiehlt allen Nutzern die Installation. Laut Berichten würden die Schwachstellen "möglicherweise aktiv für Angriffe ausgenutzt", teilt Apple mit.

Schwere Bugs in Kernel und WebKit

Die Bugs im Kernel und der Browser-Engine WebKit, die das Einschleusen von Schadcode und die Komplettübernahme der Geräte ermöglichen, haben demnach unter anderem Sicherheitsforscher der Firma Kaspersky entdeckt und gemeldet. Darüber wurde offenbar die ausgeklügelte Überwachungssoftware TriangleDB eingeschleust, zu der am Mittwoch neue Details genannt wurden. Die Angriffe mithilfe der Kernel-Schwachstelle hätten auf ältere iOS-Versionen als 15.7 abgezielt, erklärt Apple.

Für neuere iPhones (ab iPhone 8) und iPads gibt es iOS 16.5.1 sowie iPadOS 16.5.1. Parallel hat Apple iOS 15.7.7 und iPadOS 15.7.7 veröffentlicht, die Updates sind für Hardware gedacht, die sich nicht auf iOS 16 aktualisieren lässt – darunter die inzwischen acht und sieben Jahre alten Modellreihen iPhone 6s und iPhone 7. Auch für MacBooks und Desktop-Macs gibt es gepatchte Versionen des Betriebssystems in Form von macOS 13.4.1 Ventura, macOS 12.6.7 Monterey und macOS 11.7.8 Big Sur. Der Kernel von watchOS erhält den Bugfix ebenfalls, und zwar sowohl mit watchOS-Version 9.5.2 als auch mit watchOS 8.8.1. Letzteres deckt die inzwischen von Apple nicht mehr verkaufte Apple Watch Series 3 mit ab.

Gefunden auf iOS 16.5.1 & Co: Apple beseitigt Zero-Day-Lücken in allen Systemen | heise online

Aufruf: Updates bereits verfügbar, so schnell wie möglich installieren!

Microsoft: Probleme mit Outlook

Microsoft bestätigt das sonderbare Verhalten von Outlook und arbeitet an einem Patch für das Problem. Es gibt derweil einen Workaround.

Microsoft arbeitet aktuell an einem bekannten Outlook-Problem, das bei einigen Usern zum Einfrieren oder Absturz des E-Mail-Clients führt. Außerdem wirkt es für User so, als wolle das Tool eine Offline-Outlook-Datei (OST) nach dem Start synchronisieren. Allerdings ist das laut Microsoft nicht der Fall. Es werden auch keine entsprechenden Einträge angelegt, die damit in Verbindung stehen könnten.

In einigen Fällen öffnet sich Outlook zudem einfach wieder, sobald es über den entsprechenden Button in der Dachzeile geschlossen wurde. Auf Systemen, die den Flugzeugmodus aktivieren, startet Outlook manchmal gar nicht. Stattdessen bekommen sie die Nachricht: "Microsoft Outlook kann nicht gestartet werden. Das Outlook-Fenster kann nicht geöffnet werden. Der Ordnersatz kann nicht geöffnet werden. Der Versuch, sich bei Microsoft Exchange anzumelden, ist fehlgeschlagen."

Workaround möglich

Microsoft hat arbeitet aktuell an einem Patch für dieses Problem. Es tritt laut Hersteller auf, weil das Programm Probleme damit hat, den Default-Status des Cache zu erkennen. Derweil existieren Workarounds, die allerdings einen Eingriff in die Registry oder etwas Einstellungsarbeit erfordern. Kunden können etwa den Registry-Eintrag RestUpdatesForCalendar auf 1 setzen. Der befindet sich im Registry-Verzeichnis

"HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\Calendar".

Gefunden auf Outlook friert ein und verhält sich merkwürdig (golem.de)

Hochschule Kaiserslautern - Cyberattacke!

Nähere Informationen unter hs-kl-offline.de bzw.:

Liebe Studierende, liebe Mitarbeitende der Hochschule Kaiserslautern,

leider ist unsere IT-Infrastruktur von einem Hackerangriff betroffen. Daher steht die gesamte IT-Infrastruktur der Hochschule derzeit leider nicht zur Verfügung. Dies beinhaltet auch die E-Mail-Kommunikation sowie alle Zugänge, für die Sie Ihr Hochschullogin benötigen (auch von zu Hause aus).

Daher bleiben die zentralen Serviceeinrichtungen, wie die Bibliothek, die Rechnerpools, das Studierendensekretariat u.ä. vorerst geschlossen.

Bitte haben Sie Verständnis, dass wir zum jetzigen Zeitpunkt keine weiteren Informationen veröffentlichen können!

Wir werden Sie auf dieser Seite auf dem Laufenden halten.

Mit freundlichen Grüßen,
Ihre Hochschulleitung

Angreifer verschaffen sich Zugang - Microsoft Patchday!

Da sich Angreifer derzeit unter Wndows Systeme-Rechte verschaffen, schließt Microsoft unter anderem in Windows mehrere kritische Schadcode-Lücken. Attacken laufen bereits, weitere könnten bevorstehen.

Es sind wichtige Sicherheitsupdates für unter anderem Microsoft Office, Edge, Teams und Windows erschienen. In vielen Fällen könnten Angreifer Schadcode auf Computer ausführen und sie so vollständig kompromittieren. Mehrere Schwachstellen sind öffentlich bekannt, eine Sicherheitslücke in Windows nutzen Angreifer bereits aus.

Weitere Infos auf heise unter Microsoft Patchday: Angreifer verschaffen sich System-Rechte unter Windows | heise online

Jetzt patchen!

WICHTIGE INFORMATION:
Ransomware "emotet" kehrt zurück - OneNote E-Mail-Anhang!

Die hochentwickelte Schadsoftware Emotet ist wieder aktiv. Sie findet in Form von bösartigen OneNote-Dateien ihren Weg in den E-Mail-Eingang potenzieller Opfer.

Die Cybergang hinter der hoch entwickelten Schadsoftware ist bekannt für zwischenzeitliche, längere Pausen. Seit Monatsanfang jedoch gehen die Cyberkriminellen wieder auf Opfersuche. Die IT-Sicherheitsforscher von Cofense haben vor rund zwei Wochen beobachtet, dass Emotet wieder aktiv wird. Bei den E-Mails scheint es sich um Antworten auf bereits existierende E-Mail-Verläufe zu handeln, wie es bereits öfter bei Emotet zu beobachten war. Thematisch drehen sie sich meist um Finanzen und Rechnungen.

Bösartige E-Mails mit unverschlüsselten ZIP-Dateien im Anhang seien in den Posteingängen gelandet. Die bisher genutzten ZIP-Dateien benötigten kein Passwort zum Entpacken und enthielten Office-Dokumente mit bösartigen Makros; vor einer Ausführung müssten Empfänger jedoch "Inhalte aktivieren". Diese laden nach dem Start dann den Emotet-Schädling als .dll-Datei herunter. 

Um solche Hürden und Einschränkungen zu umgehen, setzen die Emotet-Drahtzieher jetzt auf OneNote-Dateianhänge in E-Mails. Die OneNote-Datei ist einfach, aber dennoch effektiv beim Social Engineering. Sie enthält die falsche Benachrichtigung, der zufolge das Dokument geschützt sei. Wenn die Opfer auf die Schaltfläche "View" doppelt klicken, reicht das die Klicks stattdessen durch und startet ein eingebettetes Skript.

Dieses Skript sei stark verschleiert und lade den Emotet-Schädling aus dem Netz herunter. Auch in diesem Fall liegt die Schadsoftware als .dll-Datei vor und wird mittels regsvr32.exe gestartet. Sofern die Malware läuft, nimmt sie Kontakt mit ihren Command&Control-Servern auf und wartet auf Anweisungen von dort.

Microsoft hat die "OneNote-Lücke", durch die Malware sich leichter als etwa mit den Office-Makros einschleusen lässt, bereits erkannt. Das Unternehmen arbeitet inzwischen an besserem Schutz vor Phishing mittels OneNote-Dateianhängen.

Seit 2018 bedroht Emotet Nutzer im Internet. Der Trojaner fährt zahlreiche Schadfunktionen auf. Wurde die Malware erst einmal gestartet, kann sie etwa weitere Trojaner nachladen, sich tief im Netzwerk einnisten und Hintertüren installieren. Um Opfer zum Ausführen der Malware zu bewegen, nutzen die Drahtzieher dahinter in der Regel gut gemachte betrügerische E-Mails. Etwa mittels Spearphishing gelangen sie zuvor an interne Informationen, die die Mails glaubwürdiger machen.

Anfang 2021 gelang Strafverfolgern ein großer Schlag gegen die Infrastruktur hinter Emotet. Es wurde daraufhin zunächst stiller um den Schädling, aber er erscheint in unregelmäßigen Abständen immer wieder erneut auf der Bildfläche.

WICHTIGE INFORMATION:
SICHERHEITSLÜCKE IN OUTLOOK

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer erheblichen Sicherheitslücke in Outlook (Meldung CSW-Nr. 2023-214328-1032 bzw. CVE-2023-23397; CVSS-Score 9.1). 

Demnach könnten Angreifende eine manipulierte E-Mail nutzen, um Zugriff auf die Zugangsdaten des Angegriffenen zu erhalten. Die Attacke erfolgt bereits bei der Verarbeitung der E-Mail – eine Aktion durch den Empfänger ist nicht notwendig, was diese Sicherheitslücke besonders gefährlich macht.

Betroffen sind alle Outlook-Versionen für Windows. Weitere Informationen können dem Blogpost auf der Webseite des Herstellers entnommen werden [MSRC2023b].

Microsoft hat für diese Sicherheitslücke bereits einen Patch herausgebracht, der nun umgehend installiert werden muss. Im Rahmen unserer Servicevereinbarungen führen wir die notwendigen Updates nun schnellstmöglich auf den von uns betreuten Systemen durch, soweit dies zentral möglich ist.

Die Sicherheitslücke betrifft jedoch vor allem die Clientsysteme bzw. die dort installierte MS-Office Software. Diese sollte sich eigentlich automatisch aktualisieren. Zur Sicherheit empfehlen wir Ihnen, die Updates von Office-Software auf Ihren Computer-Arbeitsplätzen zusätzlich manuell auszulösen. Eine Anleitung dazu finden Sie unter Anleitung-manuelles-Ausloesen-MS-Office-Updates.pdf (computer-manufaktur.de). Bitte informieren Sie Ihre AnwenderInnen entsprechend.

Für andere, nicht durch uns betreute Systeme empfehlen wir Ihnen, schnellstmöglich eine Versorgung mit den entsprechenden Updates sicherzustellen.

Für Rückfragen stehen wir Ihnen wie immer gerne zur Verfügung.

Weitere Informationen finden Sie unter Aktive Ausnutzung einer Schwachstelle in Microsoft Outlook (bund.de).

Die am häufigsten durchgesickerten Passwörter 2022 "1Qay2wsx3edc"

Die Stadt Potsdam wurde mit einem Brute-Force-Angriff angegriffen. Ein Computerprogramm probiert systematisch bekannte Passwörter und Wort-Zahlen-Kombinationen aus. Es ist an der Zeit, dass Mitarbeiter des öffentlichen Sektors nach sicheren Passwörtern suchen. Das Hasso-Plattner-Institut (HPI) hat eine Liste erstellt, wie man es nicht machen sollte.

"123456" ist das beliebteste Passwort der Deutschen, zumindest ist es das am häufigsten kompromittierte. Das Hasso-Plattner-Institut (HPI) hat eine Liste der zehn am häufigsten geleakten Passwörter des Jahres 2022 zusammengestellt.

Diese Liste basiert auf der Datenbank des HPI Identity Leak Checkers. Dabei handelt es sich um eine Datenbank, in der das HPI regelmäßig Mailkonten erfasst, die irgendwo im Netz mit einem eindeutigen Passwort veröffentlicht wurden. In diesem Jahr haben die Betreuer des Leak Checkers rund 300 Datenlecks im Portal gepflegt. Benutzer können ihre E-Mail-Adresse auf der Leak Checker-Website eingeben und überprüfen, ob sie gehackt wurde. Für Unternehmen gibt es eine eigene Anlaufstelle.

Die Passwörter, die am häufigsten auftauchen, wurden vom HPI gerankt. Verschiedene Versionen der Zahlenreihen von "1" bis "9" erfreuen sich daher großer Beliebtheit. Der dritte Platz ging an "1Qaz2wsx3edc". Dies ergibt sich aus der einfachen Eingabe der ersten drei Tastaturspalten. Auf Platz sechs kommt "qwerty" und auf Platz sieben der Klassiker "fuck". Aber auch "Passwort" (fünfter Platz) und "Passwort" (neunter Platz) schafften es auf die Tribünen.

"Der Diebstahl und Handel mit persönlichen Daten ist längst ein Milliardengeschäft", warnt Professor Christoph Meinel, Geschäftsführer des Hasso-Plattner-Instituts. "Der laxe Umgang mit Passwörtern ist gefährlich", betont der Professor. Mit dem Ranking will das HPI einen Beitrag zur Klärung des Themas Passwortsicherheit leisten.

Quelle: "Behördenspiegel – Januar 2023"

Wenn Sie Hilfe bei der Auswahl eines sicheren, geeigneten Passworts zum Schutz Ihres RPTU-Kontos benötigen, lesen Sie bitte die Richtlinie unter:
Knowledge Base - Welche Richtlinien muss ich für mein Passwort beachten? (uni-kl.de)

Noten und Atteste frei zugänglich: Wir haben die IT-Sicherheit von Unis und Hochschulen getestet

Immer häufiger werden Hochschulen von kriminellen Hackern angegriffen. Dabei sind nicht nur private Daten in Gefahr, der ganze Betrieb kann lahmgelegt werden. Doch wie reagieren Hochschulen auf Attacken? Wir haben es ausprobiert.

Artikel zu lesen unter Cybersicherheit an Universitäten und Hochschulen ist miserabel (riffreporter.de) 

HEUTE: Safer Internet Day 07.02.2023

Hier ein kleiner Hinweis aus der Informationssicherheit zur Steigerung der Awareness und Sensibilisierung:

Heute ist der Safer Internet Day (SID)! Noch nie gehört? Okay, hier ein paar Infos dazu: der SID ist ein weltweiter Aktionstag für mehr Online-Sicherheit. Er findet bereits zum zwanzigsten Mal statt (immer im Februar) und setzt jedes Jahr einen neuen thematischen Schwerpunkt im Rahmen des internationalen Mottos "Together for a better internet“. In Deutschland wird der Safer Internet Day von der EU-Initiative klicksafe koordiniert und steht 2023 unter dem Motto #OnlineAmLimit. Hierbei stehen dieses Jahr besonders Kinder und Jugendliche im Fokus und es geht um das Thema "ausgewogener Medienkonsum".

Wer weitere Informationen zu diesem Thema benötigt, kann durch einfache Suche im Netz bei verschiedenen Anbietern stöbern und recherchieren. Sie finden dort beispielsweise auch kleine Hilfestellung zur Prävention vor Cyberkriminalität und Vorschläge zur Ergreifung von Maßnahmen bei einem Angriff.

Hier eine kleine Auswahl:
https://www.heise.de/news/Safer-Internet-Day-2023-Wann-ist-digitaler-Medienkonsum-zuviel-7483429.html
https://www.heise.de/ratgeber/Safer-Internet-Day-FAQ-Internetsicherheit-fuer-Kinder-und-Jugendliche-7333482.html
https://www.saferinternetday.org/
https://www.klicksafe.de/sid23
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2019/safer-internet-day-040219.html

Herzliche Grüße und bleiben Sie sicher - SEC_RITY is not complete without U !!

Vanessa Anefeld
Informationssicherheitsbeauftragte (ISB)
https://rptu.de/informationssicherheit

Eine HTML-Version mit den vollständigen Inhalten finden Sie unter:
https://rundmail.rptu.de/archive/item/63e24b5517156

HEUTE: Safer Internet Day 07.02.2023

Hier ein kleiner Hinweis aus der Informationssicherheit zur Steigerung der Awareness und Sensibilisierung:

Heute ist der Safer Internet Day (SID)! Noch nie gehört? Okay, hier ein paar Infos dazu: der SID ist ein weltweiter Aktionstag für mehr Online-Sicherheit. Er findet bereits zum zwanzigsten Mal statt (immer im Februar) und setzt jedes Jahr einen neuen thematischen Schwerpunkt im Rahmen des internationalen Mottos "Together for a better internet“. In Deutschland wird der Safer Internet Day von der EU-Initiative klicksafe koordiniert und steht 2023 unter dem Motto #OnlineAmLimit. Hierbei stehen dieses Jahr besonders Kinder und Jugendliche im Fokus und es geht um das Thema "ausgewogener Medienkonsum".

Wer weitere Informationen zu diesem Thema benötigt, kann durch einfache Suche im Netz bei verschiedenen Anbietern stöbern und recherchieren. Sie finden dort beispielsweise auch kleine Hilfestellung zur Prävention vor Cyberkriminalität und Vorschläge zur Ergreifung von Maßnahmen bei einem Angriff.

Hier eine kleine Auswahl:
https://www.heise.de/news/Safer-Internet-Day-2023-Wann-ist-digitaler-Medienkonsum-zuviel-7483429.html
https://www.heise.de/ratgeber/Safer-Internet-Day-FAQ-Internetsicherheit-fuer-Kinder-und-Jugendliche-7333482.html
https://www.saferinternetday.org/
https://www.klicksafe.de/sid23
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2019/safer-internet-day-040219.html

Herzliche Grüße und bleiben Sie sicher - SEC_RITY is not complete without U !!

Vanessa Anefeld
Informationssicherheitsbeauftragte (ISB)
https://rptu.de/informationssicherheit

Eine HTML-Version mit den vollständigen Inhalten finden Sie unter:
https://rundmail.rptu.de/archive/item/63e24b5517156

TODAY: Safer Internet Day 07.02.2023

Here is a small note from information security to increase awareness and more consciousness:

Today is Safer Internet Day (SID)! Never heard of it? Okay, here&#039;s some information: the SID is a worldwide day of action for more online safety. It takes place for the twentieth time (always in February) and sets a new thematic focus every year within the framework of the international motto "Together for a better internet". In Germany, Safer Internet Day is coordinated by the EU initiative klicksafe and will be held under the motto #OnlineAmLimit in 2023. This year, the focus is on children and young people and the topic is "balanced media consumption".

If you need further information on this topic, you can browse and research various providers by simply searching the net. For example, you will also find small assistance for the prevention of cybercrime and suggestions for taking measures in the event of an attack.

Here is a small selection:
https://www.heise.de/news/Safer-Internet-Day-2023-Wann-ist-digitaler-Medienkonsum-zuviel-7483429.html
https://www.heise.de/ratgeber/Safer-Internet-Day-FAQ-Internetsicherheit-fuer-Kinder-und-Jugendliche-7333482.html
https://www.saferinternetday.org/
https://www.klicksafe.de/sid23
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2019/safer-internet-day-040219.html

Kind regards and stay safe - SEC_RITY is not complete without U!!

Vanessa Anefeld
Chief Information Security Officer (CISO)
https://rptu.de/informationssicherheit

An HTML version with the complete contents can be found at:
https://rundmail.rptu.de/archive/item/63e24b5517156

IT-Sicherheit ist ein komplexes Thema, welches sich so schnell weiterentwickelt, dass es selbst fachkundigen Menschen mit informationstechnischer Vorbildung schwer fällt, Schritt zu halten. Der Einzug von komplexen Cloud-Infrastruktur-Anbietern, dem industriellen Internet der Dinge (IIOT), künstlichen Intelligenzen und einer massiv wachsenden Vernetzung von Hardware, Software und Prozessen gepaart mit datenschutzrechtlichen Anforderungen macht IT-Sicherheit zu einem Sachverhalt, der die Ressourcen eines Unternehmens mitunter schnell verbrauchen kann.

Was aber ist das richtige Level oder die richtige Menge an Zeit, Geld und Kapazität von Mitarbeitenden, das Unternehmen zur Verfügung stellen sollten, um einerseits nicht morgen von einer Cyber-Attacke in den Ruin getrieben zu werden, auf der anderen Seite jedoch auch nicht jeden verdienten Euro in IT-Sicherheit zu verbrennen?

Eine allgemeingültige Antwort auf diese Frage existiert nicht. Ein guter Ansatz ist jedoch die Orientierung an weit verbreiteten und praktisch relevanten Bedrohungen. Einleitend wird dazu nachfolgend die aktuelle IT-Bedrohungslage grob beschrieben.

Phishing

Phishing (Neologismus von fishing, engl. für ‚Angeln‘) ist eine Unterform von Social Engineering und verursacht bereits seit Jahren bei Unternehmen den größten Schaden. Angreifer versuchen durch Phishing den Benutzer zu täuschen und diesen dazu zu bringen, sensible Informationen preis zu geben. Das Niveau von Phishing Angriffen hat sich in den letzten Jahren deutlich erhöht. Die Inhalte von Phishing Nachrichten sind nur noch schwer von realen Nachrichten zu unterscheiden und Angreifer nutzen zudem moderne Kommunikationsdienste (Instagram, WhatsApp etc.) um noch authentischer zu wirken.

Schnittstellen

Kaum ein Unternehmen kommt ohne Schnittstellen zwischen dem internen Unternehmensnetzwerk und mobilen Geräten (Laptops, Tablets, Smartphones usw.) aus. Schon vor Ausbruch der COVID-19 Pandemie hatten etwa 39 Prozent  der Arbeitnehmer die Möglichkeit auf Homeoffice und Tätigkeiten im Außendienst sind ohne Zugriff auf interne Daten nur schwer möglich. Solche Schnittstellen öffnen zwangsläufig Einfallstore für Angreifer. Sind diese nicht entsprechend abgesichert, kann dies schwerwiegende Folgen haben. Erschwerend kommt hinzu, dass eine Kompromittierung der mobilen Geräte der Mitarbeiter gleichzeitig eine Bedrohung für das interne Netzwerk darstellt. Insbesondere bei BYOD "Bring Your Own Device" kann dies zu Problemen führen. Somit müssen sowohl Schnittstellen als auch Endgeräte abgesichert werden.

Cloud-Security

Die Nutzung von Cloud Lösungen steigt stetig. Knapp 69% der Unternehmen nutzten im Jahr 2019 bereits hybrid Cloud Lösungen  und es wird erwartet, dass bis zum Jahr 2021 ca. 94% der digitalen Arbeitslast in der Cloud stattfinden wird.  Dieser Trend ist nachvollziehbar. Die Liste der Vorteile enthält, neben vielen weiteren Punkten, Kernaspekte wie Skalierbarkeit, Flexibilität und Kostenreduktion. Leider ist die Liste der Nachteile und potenziellen Risiken ebenfalls sehr lang. Zudem müssen an dieser Stelle auch datenschutzrechtliche Überlegungen berücksichtigt werden. Ein unstrukturierter Umzug in die Cloud kann somit am Ende mehr Kosten als Vorteile bringen.

Wo kann man sich nun weiter informieren und akutell über Sicherheitsprobleme insbesondere akute Angriffsszenarien auf dem Laufenden halten?

• Neben dem eingans beschriebenen Seiten des BSI informiert auch die Allianz für Cybersicherheit über aktuelle Bedrohungen. 
• Die Initiative Wirtschaftsschutz stellt Informationen von Bundessicherheitsbehörden und Wirtschafts- und Sicherheitsverbänden über Gefahrenszenarien sowie praxisnahe Handlungsempfehlungen, um diesen Gefahren entgegen zu wirken, bereit.
• Das Bundesamt für Verfassungsschutz informiert mit seinem Cyber-Brief über aktuelle Cyberangriffskampagnen gegen deutsche Wirtschaftsunternehmen und klärt über staatlich gesteuerte Cyberangriffe auf.

Mehrere Cyber-Angriffe haben Schäden angerichtet. Neben einer Universität und einem Krankenhaus ist auch eine österreichische Nachrichtenagentur betroffen.

In den vergangenen Tagen kam es zu mehreren Cyber-Angriffen auf die IT einer Uni, eines Krankenhauses und einer Nachrichtenagentur. Der Betrieb läuft jeweils weiter, teils jedoch mit Einschränkungen. Die IT-Abteilungen der Einrichtungen untersuchen die Vorfälle derzeit noch.

Universität Duisburg-Essen

Die Universität Duisburg-Essen ist nach einem Cyber-Angriff vom vergangenen Wochenende derzeit offline. Wie die Pressestelle der nordrhein-westfälischen Uni mitteilte, mussten die Systemverantwortlichen die gesamte IT herunterfahren, um sich ein Bild vom angerichteten Schaden zu machen. Neben der MS-Office-Suite müssen Mitarbeitende der Universität zur Stunde auch auf E-Mail und Telefonie verzichten.

Wann die Dienste wieder zur Verfügung stehen, können die Verantwortlichen noch nicht abschätzen. Studierende werden in Präsenz weiter unterrichtet, müssen sich allerdings bei administrativen Fragen rund um ihr Studium derzeit gedulden.

Die Uni informiert Betroffene auf der Webseite über den Fortschritt der Wiederherstellung. Einer ersten Analyse der IT-Abteilung zufolge sind die Angreifer am Wochenende ins Uni-Netz eingedrungen und haben alle Daten, derer sie habhaft wurden, verschlüsselt. Auf die unvermeidliche Lösegeldforderung reagierte die Hochschulleitung mit einer Strafanzeige.

Nachrichtenagentur APA

Auch die österreichische Nachrichtenagentur APA erhielt am Samstag unerwünschten Besuch in ihrem Netz. Nach Erkennung des Angriffs gelang es dem nach eigener Aussage "führenden Informationsdienstleister Österreichs", die betroffenen Systeme zu isolieren. Das habe negative Auswirkungen auf das Kerngeschäft – die Produktion und Aussendung von Nachrichten – vermieden.

Auch hier sind die Ermittlungsbehörden involviert. Forensiker und Sicherheitsfachleute kümmern sich um den Vorfall.

Klinikum Lippe

Bereits Anfang der vergangenen Woche bestätigte das Klinikum Lippe ein ähnliches Ereignis. Es kam dem Klinikum zufolge nach einem massiven Hackerangriff zu einem Teilausfall der IT-Systeme. Es seien alle drei Standorte in Detmold, Lemgo und Bad Salzuflen betroffen. Intern seien IT-Systeme verfügbar oder wurden auf die ehemals analoge Form zurückgestellt, etwa bei den Essensbestellungen. Die Versorgung der im Krankenhaus befindlichen Patienten sowie von Notfallpatienten bleibe jederzeit gewährleistet.

Nach dem Angriff arbeitet die IT-Abteilung des Krankenhauses noch immer daran, alle Systeme neu aufzusetzen. Die Standorte des Klinikums sind daher bis auf Weiteres nur per Telefon und Fax erreichbar, wie die Einrichtung auf einer Statusseite berichtet.

In allen drei Fällen gibt es noch keine (öffentlichen) Hinweise auf die Verursacher. Das Vorgehen und die bestätigten Auswirkungen deuten jedoch auf eine der derzeit operierenden Ransomware-Gangs hin.

Quelle: Cyber-Angriffe: Lahmgelegte IT bei Uni, Presseagentur und Klinikum | heise online

Ransomware: Klinikum Lippe entschlüsselt Daten nach "intensiven Verhandlungen"

Nach einem massiven Cyberangriff hat das Klinikum Lippe mit den Erpressern verhandelt und notwendige Daten zur Entschlüsselung der Systeme erhalten.

Siehe hierzu: Ransomware: Klinikum Lippe entschlüsselt Daten nach "intensiven Verhandlungen" | heise online

Immer wieder tauchen in jüngster Vergangenheit Meldungen über Cyber-Angriffe auf, insbesondere auch im Umfeld von Universitäten und Hochschulen. Es gibt sicherlich auch hier einige Interessierte, die gerne mehr Details über Sicherheitsvorfälle wissen möchten: Wie kommt so etwas zustande? Was für mögliche Auswirkungen hat es? Welche Maßnahmen müssen ergriffen werden?

Über den Sicherheitsvorfall im Juni 2022 an der Hochschule Münster hat der dortige IT-Sicherheitsbeauftragte jetzt einen Vortrag gehalten.

Hier die Pressemitteilung:

https://www.fh-muenster.de/hochschule/aktuelles/pressemitteilungen.php?madid=8960

Und ein Link zum Vortrag als Video:

https://youtu.be/l_UzKlbLY-Q

Exchange ist derzeit nur eingeschränkt verfügbar - Sicherheitsproblem

Auf Grund einer Zero Day Lücke im Exchange Mailsystem haben wir den Zugang von extern bis auf weiteres blockiert.

https://www.heise.de/news/Warten-auf-Sicherheitsupdates-Zero-Day-Attacken-auf-Microsoft-Exchange-Server-7280460.html

sowie

https://www.bleepingcomputer.com/news/security/microsoft-exchange-server-zero-day-mitigation-can-be-bypassed/ und

https://www.heise.de/news/Exchange-Server-Zero-Day-Bisheriger-Workaround-unzureichend-7283072.html

Das Exchange Mailsystem ist somit nur noch von intern oder per VPN erreichbar.
Dies bleibt solange bestehen, bis Microsoft ein Update zur Schließung der Lücke zur Verfügung stellt.

Bei Fragen hierzu, wenden Sie sich bitte an hotline[at]rhrk.uni-kl.de

https://www.rhrk.uni-kl.de/vpn/einrichtung

Die Nutzenden wurden per gesonderter Rundmail über den Sachverhalt und die Sofortmaßnahme informiert.

Wie in der Rundmail vom 02.06.2022 mitgeteilt, gibt es eine massive Sicherheitslücke in Microsoft Office. Die Informationen wie Beschreibung und empfohlene Sicherheitsmaßnahmen befinden sich weiterhin auf der Seite der Informationssicherheitsbeauftragten (ISB) unter https://www.uni-kl.de/informationssicherheit/sicherheitswarnungen.

Hierzu nun folgende erfreuliche Nachricht: für alle Geräte, die sich im zentralen Verzeichnisdienst des RHRK (Active Directory/AD) befinden, wurde eine Schutzmaßnahme implementiert und per Gruppenrichtlinie ausgerollt, so dass diese Geräte durch den empfohlenen work-around nun geschützt sind. Hierzu kann es ggf. notwendig sein, lediglich das eigene Gerät neu zu starten (rebooten).

Für alle anderen Geräte, welche sich nicht in einem AD befinden, muss der work-around manuell umgesetzt werden.

Für Rückfragen können Nutzer*innen sich neben ihrem IT-Support vor Ort oder den RHRK-Support ebenfalls an die ISB, Frau Anefeld, wenden.

Eine HTML-Version mit den vollständigen Inhalten finden Sie unter: https://rundmail.uni-kl.de/archive/item/6299ee6264235

---------------

As communicated in the mail of 02.06.2022, there is a massive security vulnerability in Microsoft Office. The information such as description and recommended security measures can still be found on the website of the Chief Information Security Officer (CISO) under https://www.uni-kl.de/informationssicherheit/sicherheitswarnungen.

Good news: for all devices that are located in the central directory service of the RHRK (Active Directory/AD), a protection measure has been implemented and rolled out via Group Policy, so that these devices are now protected by the recommended work-around. For this purpose, it may be necessary to simply restart (reboot) your own device.

For all other devices that are not in an AD, the work-around must be implemented manually.

If you have any questions, users can also contact the ISB/CISO, Ms. Anefeld, in addition to their on-site IT support or RHRK support.

Sicherheitsstufe 3/Orange: Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.

Zero-Day-Lücke in Microsoft Office ermöglicht Codeschmuggel - siehe auch Zero-Day-Lücke in Microsoft Office ermöglicht Codeschmuggel | heise online

Sicherheitsforscher haben ein Word-Dokument entdeckt, das beim Öffnen Schadcode aus dem Internet nachladen und ausführen kann. Betroffen sind nach bisherigem Kenntnisstand Office 2013, 2016, 2019, 2021, Office Pro Plus und Office 365. Die Schwachstelle kann mithilfe einer präparierten Word-Datei ausgenutzt werden, wodurch Angreifende in die Lage versetzt werden können, auf Basis der im Dokumentenverarbeitungsprogramm enthaltenen Remote Template-Funktion (RTF) den Download einer HTML-Datei aus dem Internet anzustoßen. Dies kann zu weiteren Ausführungen von PowerShell-Code missbraucht werden, wodurch Angreifende Programme installieren, Dateien anzeigen, ändern oder löschen können.

Die Sicherheitslücke wurde zwischenzeitlich sowohl von Microsoft https://www.heise.de/news/Zero-Day-Luecke-Erste-Cybergangs-greifen-MSDT-Sicherheitsluecke-an-7128265.html als auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als kritisch (Stufe 3 von 4) eingestuft. Ausführliche Informationen finden Sie hier: Follina-Schwachstelle: Schadcode wird per Microsoft Office eingeschleust (bund.de)

Heute kam erst ein Security Advisory zu dem Problem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190 wobei das auch nur Infos dazu enthält.

Noch gibt es keinen offiziellen Patch oder ein Update, dafür aber einen möglichen "work-around": https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/ Die Deaktivierung des MSDT-URL-Protokollhandlers wird auch vom BSI als einzige Schutzmaßnahme bis zur Bereitstellung eines Sicherheitspatches beschrieben.

Weitere Infos auch hier: Zero-Day-Lücke in MS Office: Microsoft gibt Empfehlungen | heise online

Bitte gehen Sie sorgsam mit den Informationen um. Bei Fragen und Problemen wenden Sie sich an Ihren IT-Support vor Ort oder an den RHRK-Support.

Eine russische Hackergruppe unter dem Namen "Conti Gang" treibt seit 2020 ihr Unwesen mit sogenannter Ransomware "Conti" also Schadsoftware. Auffällig und besonders gefährlich dabei scheint zu sein, dass teilweise ungeklärt ist, wie die Software genau in Unternehmen gelangt. Des Weiteren wird das Einschleusen des erpresserisch motivierten Angriffs als Dienstleistung von der kriminiell organisierten Hacker-Gruppe angeboten. Es wurde berichtet, dass hierbei auch gewöhnliche Taktiken wie man-in-the-middle Attacken eingesetzt wurden, um beispielsweise Kontobewegungen zu manipulieren, um Gelder zu transferieren. Anscheinend sind alle Microsoft Windows Versionen betroffen.

Weitere Informationen sowie mögliche Schutzmaßnahmen sind auf diversen Seiten von Suchmaschinen unter dem Stichwort "Conti Ransomware Gang" zu finden.

https://www-user.rhrk.uni-kl.de/~rundmail/2022/alle_4_14.html

Ostern steht kurz vor der Tür und so haben Betrüger und Phishing E-Mails wieder Hochkonjunktur. Damit Sie alle möglichst entspannte und stressfreie Tage haben, bitten wir Sie achtsam und trotz aller Osterfeiertage vorsichtig zu agieren, was die Kommunikation per E-Mail anbelangt. Derzeit kursieren gehäuft gefälscht E-Mails mit betrügerischer Absicht. Sie sollen beispielsweise dazu verleitet werden „Geschenk Gutscheine“ zu erwerben, oder auf bestimmte Links zu klicken, damit Schadsoftware eingeschleust werden kann.

Melden Sie verdächtige E-Mails bitte, indem Sie die Phishing E-Mails als Anlage (z.B. bei Outlook: die verdächtige E-Mail per drag&drop in eine neue E-Mail einfügen) an folgende Adresse senden: antivirus[at]rhrk.uni-kl.de. Nur so können die Header Informationen ausgewertet und die verlinkten Seiten innerhalb des Uni-Netzes gesperrt werden. Beachten Sie bitte, dass die durch das RHRK veranlasste Sperrung nur innerhalb des Uni-Netzes greift, aber nicht in Ihrem Heimnetzwerk, also nicht wenn Sie im Homeoffice arbeiten!

Weiterführende Informationen zu diesem Thema „Wie erkenne ich Phishing E-Mails“ finden Sie auf den Seiten des „Bundesamt für Sicherheit in der Informationstechnik“: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/Wie-erkenne-ich-Phishing-in-E-Mails-und-auf-Webseiten/wie-erkenne-ich-phishing-in-e-mails-und-auf-webseiten_node.html

Unbekannte haben einen Cyberangriff auf die Technische Hochschule in Aschaffenburg verübt. Das teilte die technische Hochschule eben auf ihrer Internet-Seite mit. Die Internetverbindung sei gestern gekappt worden, nachdem die IT-Sicherheit entsprechende Hinweise gefunden hatte. Die Herkunft des Cyber-Angriffs ist unbekannt. 

Weitere Informationen hierzu finden Sie im Internet, u.a. auf der Homepage der TH Aschaffenburg.

Die TH Aschaffenburg ist nicht die erste Hochschule, die von Hackern heimgesucht worden ist. Bereits im November 2021 erfolgte ein Cyberangriff auf die Technische Hochschule Nürnberg. Nach drei Wochen war die IT der TH Nürnberg wieder hergestellt. Zuvor hatte es schon Hackerangriffe auf das Uniklinikum Düsseldorf, die TU Berlin und die Uni Gießen gegeben.

In den letzten Tagen haben einige Mitarbeiter der RPTU E-Mails erhalten, deren Absender angeblich bekannte Personen der RPTU (z.B. aus der Universitätsleitung) sind. Die Empfänger werden aufgefordert sich beim Absender zu melden. Dabei wird kein konkreter Grund genannt, es wird lediglich angedeutet, dass es wichtig sei (z.B. "bitte diskret behandeln").

Zumindest in den aktuellen E-Mails wird auch begründet, dass nur eine Kontaktaufnahme per E-Mail möglich ist (z.B. "bin auf dem Weg in ein Meeting").

Nach den vorliegenden Informationen versuchen Trickbetrüger auf diese Weise die angeschriebenen Personen dazu zu bringen, auf die E-Mail zu antworten, damit der Betrüger im nächsten Schritt in einer möglichen Form wie "bin gerade auf einer Konferenz, muss eine Rechnung begleichen, bitte hilf mir (Zeitnot) und klicke hier oder schicke mir einen (Amazon) Gutschein" antwortet und sich auf diese Weise - sofern sein potentielles Opfer darauf hereinfällt - Geld erschleichen kann. Bitte seien Sie achtsam und aufmerksam.

Sollten Sie eine solche E-Mail erhalten, ANTWORTEN SIE NICHT darauf, sondern:

• Fragen Sie sich, ob es realistisch ist, diese Anfrage von dem angeblichen Absender zu erhalten.
• Wenn möglich, prüfen Sie, ob die tatsächliche Antwortadresse eine E-Mailadresse der RPTU ist also auf ".uni-kl.de" endet.
• Im Zweifel kontaktieren Sie den Absender, indem Sie eine NEUE E-Mail schreiben und hier eine Ihnen bekannte E-Mailadresse der RPTU verwenden.

Generell können Sie E-Mails, die Ihnen verdächtig erscheinen an antivirus@rhrk.uni-kl.de antivirus[at]rhrk.uni-kl.de senden. Dann wird sich ein Mitarbeiter des RHRK diese E-Mail ansehen. Bitte senden Sie uns diese E-Mails als Anhang, denn dann erhalten wir die E-Mail vollständig inkl. "Header", was für die Auswertung wichtig ist.

https://www-user.rhrk.uni-kl.de/~rundmail/2021/alle_12_13.html

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Schwachstelle mit Sicherheitsstufe rot / 4 / kritisch!

www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf

Betroffen ist Java-Bibliothek bzw. konkret: CVE-2021-44228 [MIT2021] in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren.

Bitte prüfen Sie inwieweit Ihre Anwedungen, Verfahren, IT-Systeme hiervon betroffen sind und gehen Sie umgehend die notwendigen und vom BSI empfohlenen Maßnahmen an. Es ist zu erwarten, dass insbesondere aufgrund der bevorstehenden Feiertage mit der Ausnutzung dieser Sicherheitslücke zu rechnen ist. 

Weitere Informationen und Hilfe bei der Umsetzung der Maßnahmen erhalten Sie am Schnellsten, wenn Sie dem beigefügten Link zum BSI folgen, hierzu auf die Überschrift "Sicherheitswarnung" oben klicken, Sie werden dann direkt dort hingeleitet.

Hilfreiche Links - insbesondere ob das Problem (noch) besteht - zu diesem Thema finden Sie unter:

https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-log4j-gefaehrdet-zahlreiche-Server-und-Apps-6291653.html

https://www.heise.de/forum/heise-online/Kommentare/Kritische-Zero-Day-Luecke-in-Log4j-gefaehrdet-zahlreiche-Server-und-Apps/formatMsgNoLookups-true-hilft-nicht-bei-selbst-implementierten-logevents/posting-40125237/show/

und beim DFN-CERT:

Kritische Schwachstelle in Apache Log4j betrifft Java-Anwendungen (CVE-2021-44228) - DFN-CERT

sowie beim Karlsruher Institut für Technologie KIT:

https://www.cert.kit.edu/p/cve-2021-44228

Anmerkung: Bitte rufen Sie regelmäßig selbständig diese Seiten auf, um die neuesten Entwicklungen zu verfolgen.

"Da die Vektoren, über die diese Schwachstelle ausgenutzt werden kann, sehr breit gefächert sind und das vollständige Ausspielen von Abhilfemaßnahmen in großen Umgebungen Zeit in Anspruch nehmen wird, empfehlen wir Verteidigern, auf Anzeichen einer nachträglichen Ausnutzung zu achten anstatt sich vollständig auf die Prävention zu verlassen."

https://www.golem.de/news/log4j-luecke-warum-log4shell-so-gefaehrlich-ist-und-was-nicht-hilft-2112-161757.htm

+++++++++++++++++++++++++++++++++

The Federal Office for Information Security (BSI) warns of a vulnerability with security level red / 4 / high critical!

Affected is Java library or specifically: CVE-2021-44228 [MIT2021] in log4j in versions 2.0 to 2.14.1, which may allow attackers to execute their own program code on the target system and thus compromise the server.

Please check to what extent your application, procedures, IT systems are affected by this and immediately take the necessary measures recommended by the BSI. It is to be expected that the exploitation of this vulnerability is to be expected, especially due to the upcoming holidays.

Further information and help with the implementation of the measures can be obtained as quickly as possible by following the attached link to the BSI, clicking on the heading "Security Warning" above and you will then be directed directly there.

Helpful links - especially whether the problem (still) exists - on this topic can be found at:

https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-log4j-gefaehrdet-zahlreiche-Server-und-Apps-6291653.html

https://www.heise.de/forum/heise-online/Kommentare/Kritische-Zero-Day-Luecke-in-Log4j-gefaehrdet-zahlreiche-Server-und-Apps/formatMsgNoLookups-true-hilft-nicht-bei-selbst-implementierten-logevents/posting-40125237/show/

and here DFN-CERT:

Kritische Schwachstelle in Apache Log4j betrifft Java-Anwendungen (CVE-2021-44228) - DFN-CERT

as well as here Karlsruher Institut for Technology KIT:

KIT - CERT - Log4j

Note: Please regularly visit these pages independently to follow the latest developments.

"Because the vectors through which this vulnerability can be exploited are very broad and will take time to fully deploy remedial action in large environments, we encourage defenders to look for signs of subsequent exploitation rather than rely entirely on prevention."

https://www.golem.de/news/log4j-luecke-warum-log4shell-so-gefaehrlich-ist-und-was-nicht-hilft-2112-161757.htm