Kategorie: Sicherheitslücke

Kategorien
Microsoft Sicherheitslücke

Erneute Zero-Click-Sicherheitslücke in Outlook

Erneut ist eine Sicherheitslücke in Microsoft Outlook bekannt geworden, die es Angreifern ermöglicht, auch ohne Benutzerinteraktion Schadcode aus der Ferne auszuführen. Wie schon die Schwachstelle CVE-2024-30103 wurde auch die jetzt veröffentlichte von den Sicherheitsforschern von Morphisec entdeckt. Die als CVE-2024-38021 registrierte Sicherheitslücke wird von Microsoft als weniger kritisch eingestuft, da sie angeblich nur bei geblockten Inhalten ausnutzbar ist.

Morphisec widerspricht und betont, dass bei vertrauenswürdigen Absendern keinerlei Nutzerinteraktion notwendig sei. Die Forscher fordern daher eine Neubewertung der Bedrohung durch Microsoft. Outlook-Nutzer sollten dringend die bereitgestellten Patches installieren, um Datenabflüsse und unbefugte Zugriffe zu verhindern. Technische Details zu dieser und einer weiteren kürzlich entdeckten Schwachstelle werden auf der Defcon 32 im August präsentiert.

Kategorien
Hacker Sicherheitslücke

Einfallstor Cisco-Switch: Hackergruppe Velvet Ant schlägt zu

Cisco hat eine Sicherheitslücke in der NX-OS-Software mehrerer Switch-Modellreihen bekannt gegeben, die seit mindestens April von Hackern ausgenutzt wird. Die Schwachstelle – registriert als CVE-2024-20399 – ermöglicht es authentifizierten Angreifern, auf betroffenen Switches mit Root-Rechten beliebige Befehle auszuführen.

Ursache ist eine unzureichende Validierung von Argumenten in bestimmten Konfigurations-CLI-Befehlen. Ein Admin-Zugang ist notwendig, um die Lücke auszunutzen, was die Erkennung von Angriffen erschwert. Betroffene Switches sind unter anderem aus den Serien MDS 9000, Nexus 3000 und Nexus 9000.

Cisco hat einen Patch bereitgestellt und Administratoren wird dringend empfohlen, diesen zu installieren. Die US-amerikanische Cybersicherheitsbehörde CISA und das Cybersicherheitsunternehmen Sygnia haben ebenfalls vor der Schwachstelle gewarnt und Angriffe mit der Velvet Ant Hackergruppe in Verbindung gebracht.

Kategorien
Sicherheitslücke

Bloßes Öffnen genügt: Sicherheitslücke in Outlook

Das Cybersicherheitsunternehmen Morphisec warnt vor einer gefährlichen Schwachstelle in Microsoft Outlook, die sog. Remote Code Execution (das ausführen von Schadcode von einem entfernten Standort) ermöglicht. Diese Schwachstelle (registriert als CVE-2024-30103 mit einem Schweregrad von 8,8) kann durch das bloße Öffnen einer speziell gestalteten E-Mail ausgenutzt werden, ohne dass Nutzerinteraktion erforderlich ist. Besonders gefährdet sind Konten, die E-Mails automatisch öffnen. Dies könnte zu Datenlecks, unbefugten Zugriffen oder anderen böswilligen Aktivitäten führen. Microsoft hält eine aktive Ausnutzung für weniger wahrscheinlich, während Morphisec die Gefahr höher einschätzt. Ein Patch ist seit dem 11. Juni verfügbar, und Anwender sollten ihre Outlook-Clients umgehend aktualisieren.

Kategorien
Sicherheitslücke

Folgenschwere Sicherheitslücke bei Fortigate-Firewalls

Zwei Forscher des deutschen IT-Sicherheitsunternehmens G Data haben eine Schwachstelle in der Firmware von Fortinet-Gateways entdeckt, die es Angreifern ermöglicht, Passwörter für VPN-Zugänge zu Unternehmensnetzwerken zu erlangen. Dieser Angriff baut auf einer bereits 2019 behobenen Sicherheitslücke auf. Fortinet hatte Administratoren damals empfohlen, einen eigenen Schlüssel zur Verschlüsselung von Konfigurationsbackups zu verwenden, aber in einem Fall wurde der hart kodierte Standardschlüssel immer noch genutzt.

Zusätzlich entdeckten die Forscher eine neue Sicherheitslücke (CVE-2024-21754), bei der Fortinet nur eine Runde SHA256 zur Schlüsselerzeugung verwendet. Dies macht es relativ einfach, das Passwort zur Entschlüsselung von Backups zu knacken, da Fortinet eine maximale Passwortlänge von 15 Zeichen vorgibt.

G Data meldete diese neue Lücke im Oktober 2023 an Fortinet. Patches sind seit dem 10. Juni verfügbar und betreffen mehrere Versionen von FortiOS und FortiProxy. Das Problem wurde mit FortiOS 7.4.4 und FortiProxy 7.4.3 behoben.

Kategorien
KI Sicherheitslücke

Angriff über WLAN – Patch für neue Windows Schwachstelle

Microsoft hat eine Sicherheitslücke im Wi-Fi-Treiber von Windows geschlossen, die es Angreifern ermöglicht, auf anfälligen Systemen Schadcode auszuführen

Angreifer müssen sich lediglich in WLAN-Reichweite zum Zielsystem befinden, um bösartigen Code auszuführen. Betroffen sind alle gängigen Windows-Versionen.

Die Lücke, die als CVE-2024-30078 registriert ist, wurde von Microsoft am Patchday im Juni geschlossen. Angreifer können ein speziell gestaltetes Netzwerkpaket an ein Zielsystem senden, um den Code auszuführen, ohne dass eine Authentifizierung oder Nutzerinteraktion erforderlich ist.

Der Schweregrad dieser Schwachstelle ist mit einem CVSS-Wert von 8,8 als hoch eingestuft, verursacht durch eine fehlerhafte Eingabevalidierung. Dadurch können Windows-Nutzer, die sich in öffentlichen WLAN-Netzwerken wie in Hotels, Cafés oder Flughäfen aufhalten, unbemerkt mit Malware infiziert werden.

Ausnutzungen der Schwachstelle sind laut Microsoft noch nicht bekannt, zudem stuft das Unternehmen das Risiko als „weniger wahrscheinlich“ ein, weist jedoch auf die geringe Angriffskomplexität hin. Die Sicherheitslücke betrifft alle gängigen Windows-Versionen, einschließlich Windows 10, 11 und sämtliche Windows-Server-Versionen ab 2008.

Ein Patch ist seit dem 11. Juni verfügbar und sollte auf allen Systemen mit WLAN-Adaptern zeitnah installiert werden. Wir empfehlen dies so zeitnah wie möglich durchzuführen.

Kategorien
Sicherheitslücke

Cisco Firepower: Kritische Sicherheitslücke

Am 1. November 2023 entdeckte Cisco eine ernstzunehmende Sicherheitslücke in seiner Firepower Management Center (FMC) Software, die unter der Bezeichnung CVE-2023-20048 geführt wird. Diese Schwachstelle erhielt eine Bewertung von 9,9 im Common Vulnerability Scoring System (CVSS), was sie zu einer der schwerwiegendsten bisher entdeckten Sicherheitslücken macht.

Die Ursache der Sicherheitslücke liegt in der Webschnittstelle der FMC-Software. Ein authentifizierter, remote auftretender Angreifer kann bestimmte nicht autorisierte Konfigurationsbefehle auf einem von der FMC-Software verwalteten Firepower Threat Defense (FTD) Gerät ausführen. Der Fehler tritt aufgrund einer unzureichenden Autorisierung von über die Webschnittstelle gesendeten Konfigurationsbefehlen auf. Diese ernsthafte Sicherheitslücke drängt tief in die Kernfunktionalität der FMC-Software und bedroht die Integrität der Netzwerkverteidigungen.

Cisco hat auf diese Entdeckung reagiert und Patches bereitgestellt, um die Sicherheitslücke zu schließen und die Netzwerksicherheit seiner Kunden zu gewährleisten. Nutzer und Administratoren werden dringend empfohlen, die bereitgestellten Patches zu installieren, um ihre Netzwerkinfrastruktur vor möglichen Angriffen zu schützen.

Kategorien
Sicherheitslücke

Schwerwiegende Schwachstelle in Fritzbox-Routern

Ein kürzlich entdeckter Fehler in Fritzbox-Routern hat sowohl Nutzer als auch Sicherheitsexperten aufgeschreckt. Die Schwachstelle, bekannt unter dem Advisory WID-SEC-2023-2262, wurde im September 2023 veröffentlicht und gilt als hochriskant mit einem CVSS (Common Vulnerability Scoring System) Base Score von 7.3 von 10. Dieser Fehler ermöglicht es Angreifern, einen „nicht spezifizierten Angriff“ durchzuführen.

Alle Fritzbox-Router sind betroffen und je nach Modell wird die Firmware-Version 7.57 bzw. 7.31 benötigt um einen sicheren Betrieb zu gewährleistet

Die Analyse zeigt, dass die Schwachstelle leider auch bei deaktiviertem Fernzugriff ausgenutzt werden kann. AVM, der Hersteller der Fritzbox-Router, hat seit dem 4. September Sicherheitsupdates zur Verfügung gestellt, um die Schwachstelle zu beheben. Das Bundesamt für Sicherheit in der Informationstechnik warnte auch vor dieser Schwachstelle in Verbindung mit FritzBox-Modellen seit dem 5. September 2023.

Es wird dringend empfohlen, dass Fritzbox-Nutzer sicherstellen, dass ihre Router auf dem neuesten Stand sind, um diese kritische Schwachstelle zu patchen und ihre Netzwerke zu schützen.

Kategorien
Sicherheitslücke

HP-Drucker mit akuten Sicherheitslücken

Mehrere HP-Drucker sind von akuten Sicherheitslücken betroffen.

Der Hersteller Hewlett Packard hat Updates für die Laserjet Pro und MFP Modelle veröffentlicht, um einen Befall mit Schadcode, der Ausweitung von Rechten und damit der Kompromittierung des Systems zu verhindern.

Bei dem Lücken handelt es sich um die CVE (Security vulnerability database)-Einträge CVE-2023-27971(Rechteausweitung durch Pufferüberlauf), CVE-2023-27972 (Schadcodeausführung über Command&Control Server) und CVE-2023-27973 (Schadcodeausführung).

Folgende Systeme sind betroffen:

  • HP Color LaserJet MFP M478-M479
  • HP Color LaserJet Pro M453-M454
  • HP LaserJet Pro M304-M305 
  • HP LaserJet Pro M404-M405 
  • HP LaserJet Pro MFP M428-M429 
  • HP LaserJet Pro MFP M428F-M429F 

Als Sofortmaßnahme sollten die Geräte der betroffenen Modellreihen außer Betrieb genommen werden.

Es ist umgehend die Firmware-Version 002_2310A zu installieren, welche die Sicherheitslücken schließt.

Kategorien
Exchange Sicherheitslücke

Kritische Sicherheitslücken in Exchange

In Microsoft Exchange sind vergangenes Wochenende die kritischen Sicherheitslücken CVE-2022-41040 und CVE-2022-41082 bekannt geworden. Betroffen sind die Versionen Microsoft Exchange Server 2013, 2016 und 2019. Gegenwärtig existiert noch kein Softwarepatch.

Wir haben am Wochenende die Sicherheitslücke analysiert und die Exchange-Installationen unserer Rechenzentrumskunden bearbeitet, um diese Sicherheitslücke behelfsweise zu schließen. Zugleich haben wir geprüft, ob diese Sicherheitslücke bereits ausgenutzt worden ist. Wenn Sie Ihre Exchange-Installation on premise eigenständig betreuen, so sollten Sie sich zeitnah mit Ihrem Systembetreuer in Verbindung setzen, um einen Schadcodebefall Ihres Systems zu vermeiden.

Die Sicherheitslücke begünstigt eine sog. Remote Code Execution – bei der ein Angreifer remote bzw. aus der Ferne potentiell schädlichen Code ausführen können. Die aktuelle Sicherheitslücke weist große Überschneidungen mit den ProxyShell-Schwachstellen aus dem vergangenen Jahr auf, was unweigerlich die Frage aufwirft, ob der Softwareanbieter aus Redmond in Washington in Interesse seiner Kunden von einer adäquaten geeigneten Sicherheitskultur geleitet wird.