[datensicherheit.de, 10.05.2025] Der aktuelle „Verizon Data Breach Investigations Report“ zeigt auf, dass die Ausnutzung von Schwachstellen zu einem der am häufigsten genutzten Angriffsvektoren geworden ist und mittlerweile als Ausgangspunkt für 20 Prozent aller „Breaches“ dient – demnach ein Anstieg von 34 Prozent gegenüber dem Vorjahresbericht. Dieser sei unter anderem zurückzuführen auf die Ausnutzung von „Zero Days“ in VPNs und sogenannten Edge-Geräten. Der Report hebt 17 CVEs im Zusammenhang mit „Edge“-Geräten, welche nach wie vor attraktive Ziele für Angreifer darstellen, hervor. „Tenable Research“ hat nun detaillierte Schwachstellendaten zu diesen 17 CVEs bereitgestellt und u.a. untersucht, wie Unternehmen bei deren Behebung abschneiden.

Abbildung: verizon business

„2025 Data Breach Investigations Report“ zu Schachstellen in Unternehmen

Priorisierung kritischer Schwachstellen

Scott Caveza, „Senior Staff Research Engineer“ bei Tenable, geht in seiner aktuellen Stellungnahme auf den vorliegenden „Verizon Data Breach Investigations Report“ ein: „Die Zahl neuer Schwachstellen steigt weiterhin rapide an und beschert Cyber-Sicherheitsexperten eine schier endlose ,To-do’-Liste.“

• Grundsätzlich sollten die kritischsten Schwachstellen ganz oben auf dieser Liste stehen, insbesondere bei sogenannten Edge-Geräten, den metaphorischen Toren zu Unternehmensumgebungen.

„Für eine fundierte Priorisierung und Behebung ist jedoch auch der Kontext rund um eine bestimmte Schwachstelle entscheidend – also wo in der Umgebung sie sich befindet, welche Daten oder Systeme potenziell gefährdet sind, wie leicht sie ausgenutzt werden kann, ob ein ,Proof-of-Concept’ existiert und vieles mehr.“ Caveza betont: „Die größte und gefährlichste Schwachstelle könnte je nach Kontext in einigen Fällen sogar unproblematisch sein.“

17 Schwachstellen im Zusammenhang mit „Edge“-Geräten untersucht.

Caveza berichtet: „Für den ,Verizon Data Breach Investigations Report’ haben wir 17 Schwachstellen im Zusammenhang mit ,Edge’-Geräten untersucht. Jede davon betrifft attraktive Ziele für Angreifer und fungiert häufig als Einstiegspunkt für ,Breaches’.“ Angesichts ihrer Bedeutung gebe es, wenn überhaupt, nur sehr wenige Fälle, in denen es sinnvoll sei, „Edge“-Geräte mit einer kritischen Schwachstelle ungeschützt zu lassen.

• Obwohl 54 Prozent der Unternehmen diese 17 CVEs vollständig behoben hätten, zeigten ihre Daten, „dass die durchschnittliche Zeit bis zur Behebung 209 Tage beträgt“ – was insbesondere deswegen besorgniserregend sei, weil Angreifer zur Ausnutzung durchschnittlich nur fünf Tage benötigten.

„Unsere Untersuchung macht deutlich, dass noch viel Arbeit vor uns liegt“, so Caveza abschließend. Die von Verizon in Zusammenarbeit mit Tenable gesammelten Daten unterstrichen die Notwendigkeit, bekannte Schwachstellen zu beheben, und lieferten wertvolle Erkenntnisse, die Unternehmen dabei helfen sollen, ihre Netzwerke, Geräte und Mitarbeiter zu schützen.

Weitere Informationen zum Thema:

verizon business, 2025
2025 Data Breach Investigations Report

tenable, Scott Caveza, 23.04.2025
Verizon 2025 DBIR: Tenable Research Collaboration Shines a Spotlight on CVE Remediation Trends

datensicherheit.de, 02.05.2025
Erkenntnisse aus dem Verizon Data Breach Investigation Report (DBIR) 2025 / Der Bericht macht die Notwendigkeit eines ganzheitlichen Sicherheitsansatzes deutlich

datensicherheit.de, 23.04.2025
Data Breach Investigations Report (DBIR) 2025 von Verizon: Systemangriffe in der EMEA-Region verdoppeln sich / Der aktuelle Bericht analysiert mehr als 22.000 Sicherheitsvorfälle

datensicherheit.de, 10.06.2020
Der Data Breach Investigation Report von Verizon aus OT-Security-Sicht / Konsequentes Patchen ist der Schlüssel für effektives Schwachstellenmanagement

[datensicherheit.de, 02.05.2025] Onapsis stellt in Zusammenarbeit mit Mandiant ein Open-Source-Tool zur Verfügung. Es soll Unternehmen dabei unterstützen, die SAP-Sicherheit zu stärken, indem es Indicators of Compromise (IoCs) identifiziert, die mit der aktiven Ausnutzung einer kürzlich gepatchten Schwachstelle in SAP NetWeaver Application Server Java (CVE-2025-31324) in Zusammenhang stehen.

Schwachstelle höchster Kritikalität

CVE-2025-31324 ist eine kritische, nicht authentifizierte Schwachstelle für die Remotecodeausführung in der Visual Composer-Komponente von SAP NetWeaver, die es Bedrohungsakteuren ermöglicht, die vollständige Kontrolle über bedrohte SAP-Server zu übernehmen.

Übersicht zu CVE-2025-31324

Die Schwachstelle betrifft SAP NetWeaver Java-Systeme, bei denen die Entwicklungsumgebung von Visual Composer aktiviert und nicht gepatcht ist. Bei erfolgreicher Ausnutzung haben Angreifer die volle Kontrolle über das System, einschließlich des uneingeschränkten Zugriffs auf sensible SAP-Geschäftsdaten und -prozesse, der Implementierung von Ransomware und lateraler Bewegungen. Die erste von Onapsis beobachtete Ausnutzung wurde am 14. März 2025 festgestellt. Die Bedrohungsaktivitäten haben deutlich zugenommen, auch wenn SAP am 24. April ein Notfall-Patch bereitgestellt hat.

Patches installieren und Umgebung auf Gefährdungen prüfen

Aufgrund der Kritikalität und der weiten Verbreitung wird Kunden mit gefährdeten internetbasierten SAP-Anwendungen dringend empfohlen, nicht nur Patches zu installieren, sondern auch ihre Umgebungen auf eine Gefährdung zu überprüfen.

Open-Source-Scanner

Der Open-Source-Scanner, der von Onapsis in Zusammenarbeit mit Mandiant entwickelt wurde, soll SAP-Kunden in verschiedenen Aspekten unterstützen:

• Feststellung der Anfälligkeit des Systems für CVE-2025-31324
• Identifizierung bekannter Indicators of Compromise (IOCs) hinsichtlich vorliegender Kampagneninformationen
• Scannen nach unbekannten webausführbaren Dateien in bekannten Exploit-Pfaden
• Sammeln verdächtiger Dateien in einem strukturierten ZIP-Archiv mit Verzeichnis für eine spätere Analyse
• Überprüfung des SAP HTTP-Zugriffsprotokolls (falls vorhanden) auf Einträge im Zusammenhang mit der Ausnutzung von CVE-2025-31324
• Extraktion und Speicherung von Kopien der identifizierten Protokolleinträge in einer CSV-Datei für die weitere Analyse

Es handelt sich um eine aktive Kampagne. Das Tool wird weiter aktualisiert, sobald weitere IoCs und Informationen verfügbar sind. Eine regelmäßige Überprüfung nach Updates wird vom Hersteller empfohlen.

Der Scanner steht hier im Onapis-Blog kostenlos zum Download zur Verfügung.

Handlunsgempfehlungen für Unternehmen

• Sofortige Nutzung der SAP Note 3594142
• IoC-Scanner starten, um Anzeichen einer Kompromittierung zu erkennen
• Auslösen der SAP-spezifischen Incident Response Playbooks

Die Veröffentlichung dieses Tools ist nach eigenen Angaben Teil der Bemühungen, Verteidiger bei kritischen Bedrohungen zu unterstützen.

Weitere Informationen zum Thema:

Onapsis
SAP NetWeaver Flaw Lets Hackers Take Full Control: CVE-2025-31324 Explained

datensicherheit.de, 08.04.2021
Kritische SAP-Anwendungen im Fokus Cyber-Krimineller

[datensicherheit.de, 27.04.2025] Laut einer aktuellen Meldung von Onapsis wurden im April 2025 mehrere Sicherheitsvorfälle im Zusammenhang mit „SAP NetWeaver“ bekannt: Demnach sollen Cyber-Angreifer „JSP-Webshells“ ausnutzten, um unbefugte Dateiuploads und beliebigen Code auszuführen. Die Schwachstelle betreffe die „SAP Visual Composer“-Komponente von „SAP-Java“-Systemen und ermögliche es nicht authentifizierten Bedrohungsakteuren, beliebige Dateien, einschließlich Remote-Webshells, in SAP-Anwendungen hochzuladen. „Dies führt zu einer sofortigen vollständigen Kompromittierung dieser Systeme!“ Besonders kritisch sei, dass potenzielle Cyber-Angriffe herkömmliche ERP-Sicherheitsmechanismen umgehen könnten.

Onapsis fasst Erkenntnisse über kritische Zero-Day-Schwachstelle zusammen:

• Cyber-Kriminelle nutzten aktiv eine neue höchst kritische Zero-Day-Schwachstelle mit „CVSS 10.0“ in SAP-Anwendungen aus.
• Angreifer könnten die vollständige Kontrolle über kritische Geschäftsprozesse und Informationen in SAP-Anwendungen erlangen oder Ransomware installieren, welche zu weitreichenden Störungen und Verlusten führen könne.
• Die Cyber-Angriffe könnten über das Internet erfolgen und sich gegen „Cloud“-/Internet-basierte SAP-Anwendungen, aber auch gegen interne SAP-Systeme richten.
• Potenziell betroffen seien alle Kunden, welche die verwundbare Komponente „SAP NetWeaver“ in „Cloud/RISE with SAP“-Umgebungen, „cloud“-nativen und „On-Premise“-Bereitstellungsmodellen verwenden.

Gefährdete Kunden sollten schnellstmöglich den von SAP bereitgestellten Notfall-Patch einspielen. „Wenn anfällige Systeme mit dem Internet verbunden waren, sollten Kunden von einer Sicherheitsverletzung ausgehen und Notfallmaßnahmen einleiten!“

„SAP Threat Intelligence System“ von Onapsis bestätigt Möglichkeit der Schwachstellen-Ausnutzung

Das „SAP Threat Intelligence System“ von Onapsis hat die mögliche Ausnutzung der Schwachstelle bestätigt, welche zunächst von ReliaQuest offengelegt wurde. Zudem haben die „Onapsis Research Labs“ Tausende SAP-Anwendungen identifiziert, welche aufgrund dieser Schwachstelle möglicherweise dem Risiko von Cyber-Sicherheitsverletzungen ausgesetzt sind.

SAP stellte am 24. April einen Notfall-Patch zur Verfügung – gefährdete Kunden sollten diesen schnellstmöglich einspielen. „Sofern internetfähige ,Cloud’-SAP-Systeme im Einsatz sind, sollten Kunden von einer Sicherheitsverletzung ausgehen und entsprechende Notfallmaßnahmen einleiten, darunter die Anwendung von ,SAP Security Note 3594142‘ oder Überprüfung von ,3596125‘ auf mögliche Problemlösungen.“

Weitere Informationen zum Thema:

ONAPSIS
Erfahren Sie mehr über die wichtigsten Offenlegungen von ORL mit SAP und CISA

SAP
Management von Sicherheitsproblemen: SAP legt größten Wert darauf, Sicherheitsprobleme im Zusammenhang mit unserer Software und unseren Cloud-Lösungen zu ermitteln und zu beheben.

RELIAQUEST, ReliaQuest Threat Research Team, 25.04.2025
ReliaQuest Uncovers New Critical Vulnerability in SAP NetWeaver

heise online, Dirk Knop, 25.04.2025
SAP patcht kritische Schwachstelle außer der Reihe / SAP veranstaltet monatliche Patchdays. Eine kritische Sicherheitslücke nötigt das Unternehmen nun zum Update außer der Reihe.

datensicherheit.de, 08.04.2021
Kritische SAP-Anwendungen im Fokus Cyber-Krimineller / CISA und Tenable warnen vor ungepatchten SAP-Systemen

datensicherheit.de, 22.01.2021
SAP Solution Manager: Schwere Sicherheitsschwachstelle aufgetaucht / Tenable warnt vor Patch-Müdigkeit

[datensicherheit.de, 10.10.2024] Auch die Check Point Software Technologies Ltd. warnt in einer aktuellen Stellungnahme vor „schwerwiegenden Sicherheitslücken im ,Common Unix Printing System’ (CUPS)“. Diese vom Sicherheitsexperten Simone Margaritelli (evilSocket) aufgedeckten Schwachstellen betreffen demnach „Linux“-Umgebungen und können zur Ausführung von schädlichem Code führen. Diese vier Schwachstellen seien öffentlich bekanntgemacht worden, nachdem das Entwickler-Team unzureichend auf die verantwortungsbewusste Offenlegung reagiert habe.

Abbildung: Check Point Software Technologies Ltd.

Übersicht der Schwachstellen mit CVE-Code

Hunderttausende von Geräten potenziell durch CUPS-Schwachstellen gefährdet

Die vier entdeckten Sicherheitslücken, darunter „CVE-2024-47177“ mit einem CVSS-Score von 9.0 („kritisch“), beträfen eine Vielzahl von „Linux“-Distributionen sowie Systeme wie „BSD“, „Oracle Solaris“ und „ChromeOS“.

„Ein Scan des Internets zeigte, dass Hunderttausende von Geräten potenziell gefährdet sind. Obwohl ,cloud’-basierte Workloads oft nicht betroffen sind, da Port 631 in der Regel geschlossen ist, sollten betroffene Systeme dringend aktualisiert werden.“

Maßnahmen und Schutzvorkehrungen

Um die Risiken der CUPS-Schwachstellen zu minimieren, empfiehlt Check Point nach eigenen Angaben folgende Maßnahmen:

Systeme aktualisieren und Patches installieren!
Es sollten Versionen „cups-browsed“ > 2.0.1, „libcupsfilters“ > 2.1b1 und „libppd“ > 2.1b1 eingesetzt werden.

Dienste deaktivieren!
Falls nicht benötigt, sollte der „cups“-browsed-Dienst vollständig deaktiviert werden.

Port 631 blockieren!
Wenn ein Update nicht sofort möglich ist, sollte jeglicher Verkehr zu Port 631 blockiert werden, um Angriffe zu verhindern.

Margaritelli weise darauf hin, dass weitere Schwachstellen bereits verantwortungsvoll offengelegt worden seien und eine erhöhte Wachsamkeit notwendig sei. Zudem gebe es bereits „PoC-Exploitcodes“ (Proof-of-Concept) für die aktuellen Sicherheitslücken. Check-Point-Kunden seien durch „CloudGuard“ geschützt (insbesondere gegen „Remote Code Execution“ [RCE], welche durch die Sicherheitslücke „CVE-2024-47176“ ausgelöst werden könne).

Weitere Informationen zum Thema:

CHECK POINT, 30.09.2024
How to Safeguard Your Systems from Linux CUPS Vulnerabilities

datensicherheit.de, 30.09.2024
Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem / Es gibt laut Satnam Narang noch eine breite Palette von Software – sei es „Open Source“ oder „Closed Source“ –, welche noch entdeckt und offengelegt werden müssten

datensicherheit.de, 27.09.2024
Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen / „CUPS“ (Common Unix Printing System) ist das Standard-Drucksystem für viele „Unix“-ähnliche Betriebssysteme wie „GNU/Linux“

[datensicherheit.de, 30.09.2024] Vor Kurzem wurden im „Linux“-Drucksystem „CUPS“ teils Kritische Sicherheitslücken entdeckt, über welche Angreifer beispielsweise schädlichen Code einschmuggeln könnten. Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, kommentiert in seiner aktuellen Stellungnahme diesen Vorfall:

Foto: Tenable

Satnam Narang: Entdeckte CUPS-Schwachstellen offenbar nicht so schwerwiegend wie z.B. „Log4Shell“ oder „Heartbleed“

Satnam Narang sieht in diesem Zusammenhang den Kontext als entscheidend an

Der Kontext sei in diesem Zusammenhang entscheidend. Narang erläutert: „Es ist wahrscheinlich, dass die ,CVSS-Scores’ für die Schwachstellen im ,CUPS’-Drucksystem – einschließlich der mit einem Score von 9,9 – nach unten korrigiert werden.“ Da die Offenlegung aus irgendeinem Grund vor dem geplanten Datum durchgesickert sei, seien die Details eilig nachgereicht worden, und die Hersteller seien immer noch dabei, „Advisories und Patches für diese Schwachstellen“ zusammenzustellen.

„Nach allem, was wir bisher erfahren haben, sind diese Schwachstellen nicht so schwerwiegend wie ,Log4Shell’ oder ,Heartbleed’“, so Narang. Tatsächlich gebe es unzählige Schwachstellen in einer breiten Palette von Software – sei es „Open Source“ oder „Closed Source“ –, welche noch entdeckt und offengelegt werden müssten.

Satnam Narang warnt vor APT-Gruppen mit Verbindungen zu Nationalstaaten und Ransomware-Banden

„Security-Research ist in diesem Prozess von entscheidender Bedeutung, und wir können und sollten mehr von den Software-Herstellern verlangen“, betont Narang. Die CISA-Direktorin, Jen Easterly, habe dies kürzlich in einer Keynote sehr treffend auf den Punkt gebracht.

Abschließend gibt Satnam Narang zu bedenken: „Für Unternehmen, die sich gegen diese neuesten Schwachstellen wappnen, ist es wichtig zu betonen, dass die schwerwiegendsten und beunruhigendsten die bekannten Schwachstellen sind, die weiterhin von APT-Gruppen mit Verbindungen zu Nationalstaaten und Ransomware-Banden ausgenutzt werden, die Unternehmen jedes Jahr um Millionen von Dollar bringen.“

Weitere Informationen zum Thema:

datensicherheit.de, 27.09.2024
Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen / „CUPS“ (Common Unix Printing System) ist das Standard-Drucksystem für viele „Unix“-ähnliche Betriebssysteme wie „GNU/Linux“

[datensicherheit.de, 27.09.2024] „Bei der Ausführung von Remote-Code in ,Linux CUPS’ wurden neue Probleme entdeckt“, berichtet Saeed Abbasi, Produktmanager der „Threat Research Unit“ bei Qualys, in einer aktuellen Meldung. Laut einer Untersuchung der „Qualys Threat Research Unit“ sollen mehr als 76.000 Geräte betroffen sein, „von denen mehr als 42.000 öffentlich zugängliche Verbindungen akzeptieren“.

Foto: Qualys

Saeed Abbasi: Die Sicherheitslücke ermöglicht es Angreifern, beliebigen Code auszuführen…

Schwachstelle „CVE-2024-47176“ in „cups-browsed“-Versionen in verschiedenen „UNIX“-Systemen weit verbreitet

Abbasi erläutert: „,CUPS’ (Common Unix Printing System) ist das Standard-Drucksystem für viele ,Unix’-ähnliche Betriebssysteme wie ,GNU/Linux’-Distributionen und ,macOS’. Die Schwachstelle ,CVE-2024-47176‘ in ,cups-browsed’-Versionen ist in verschiedenen ,UNIX’-Systemen weit verbreitet, darunter ,GNU/Linux’-Distributionen, ausgewählte ,BSDs’, möglicherweise ,Oracle Solaris’ und ,Google Chromium/ChromeOS’.“ In einigen Fällen sei sie standardmäßig aktiviert, in anderen nicht.

Diese Schwachstellen ermöglichten es einem nicht authentifizierten Angreifer, die IPP-URLs vorhandener Drucker stillschweigend durch bösartige URLs zu ersetzen. Dies könne dazu führen, „dass auf dem betroffenen Computer beliebige Befehle ausgeführt werden, wenn ein Druckauftrag initiiert wird“. Ein Angreifer könne ein „speziell gestaltetes UDP-Paket“ über das öffentliche Internet an „Port 631“ senden und so die Schwachstellen ohne jegliche Authentifizierung ausnutzen.

Unternehmen sollten das Risiko der Kompromittierung von „CUPS“-Systemen bewerten!

Die Verbreitung von „GNU/Linux“-Systemen als Unternehmensserver, „Cloud“-Infrastrukturen und Kritischen Anwendungen stelle durch die Sicherheitslücke eine große Angriffsfläche dar und betreffe potenziell eine große Anzahl von Servern, Desktops und eingebetteten Geräten weltweit. Angreifer benötigten keine gültigen Anmeldeinformationen, um diese Sicherheitslücke auszunutzen. Abbasi warnt: „Die Sicherheitslücke ermöglicht es Angreifern, beliebigen Code auszuführen und möglicherweise die vollständige Kontrolle über betroffene Systeme zu erlangen. Die Sicherheitslücke hat einen CVSS-Wert von 9,9 und wird damit als ,kritisch’ eingestuft.“

Unternehmen sollten das Risiko der Kompromittierung von „CUPS“-Systemen bewerten. Es gelte den Netzwerkzugriff einzuschränken, nicht unbedingt erforderliche Dienste zu deaktivieren und strenge Zugriffskontrollen zu implementieren. „Linux“-Administratoren müssten sich auf eine schnelle Fehlerbehebung vorbereiten, sobald ein Patch verfügbar ist – „und die Patches natürlich vor dem Einspielen gründlich testen, um Ausfälle zu vermeiden“.

Weitere Informationen zum Thema:

Qualys Community, Saeed Abbasi, 26.09.2024
Critical Unauthenticated RCE Flaws in CUPS Printing Systems

[datensicherheit.de, 18.05.2024] Die Kaspersky-Forscher Boris Larin und Mert Degirmenci haben nach eigenen Angaben eine neue Zero-Day-Schwachstelle in „Windows“ mit der Bezeichnung „CVE-2024-30051“ gefunden. Diese Entdeckung wurde demnach im Zuge der Untersuchung der „Windows DWM Core Library Elevation of Privilege“-Schwachstelle („CVE-2023-36033“) Anfang April 2024 gemacht. Ein Patch sei am 14. Mai 2024 im Rahmen des „May Patch Tuesday“ von Microsoft veröffentlicht worden.

Auf VirusTotal aufgetaucht: Hinweis auf potenzielle Windows-Sicherheitslücke

„Am 1. April 2024 erregte ein auf ,VirusTotal’ hochgeladenes Dokument die Aufmerksamkeit der Kaspersky-Forscher. Das Dokument mit einem aussagekräftigen Dateinamen wies auf eine potenzielle Sicherheitslücke im ,Windows’-Betriebssystem hin.“ Trotz gebrochenen Englischs und der fehlenden Details (wie die Schwachstelle ausgelöst werden kann), habe das Dokument einen Exploit-Prozess beschrieben, der jenem vom Zero-Day-Exploit für „CVE-2023-36033“ geglichen habe, obwohl sich diese Schwachstellen voneinander unterschieden.

Das Team habe vermutete, die Sicherheitslücke sei entweder erfunden oder nicht ausnutzbar; trotzdem habe es seine Untersuchung fortgesetzt. „Eine schnelle Überprüfung ergab jedoch, dass es sich tatsächlich um eine Zero-Day-Schwachstelle handelt, die zu einer Ausweitung der Systemprivilegien führen kann.“

Kaspersky habe seine Erkenntnisse umgehend an Microsoft gemeldet – anschließend sei die Schwachstelle verifiziert und als „CVE-2024-30051“ bezeichnet worden.

Global Research & Analysis Team untersuchte Zero-Day-Schwachstelle in Windows

Nach dieser Meldung hätten die Kaspersky-Experten begonnen, „die Exploits und Angriffe, die diese Zero-Day-Schwachstelle nutzen, näher unter die Lupe zu nehmen“. Mitte April 2024 habe das Team einen Exploit für „CVE-2024-30051“ entdeckt und seine Verwendung in Verbindung mit „QakBot“ sowie anderer Malware beobachtet. Dies deute darauf hin, dass mehrere Bedrohungsakteure Zugriff auf diesen Exploit hätten.

„Wir fanden das Dokument auf ,VirusTotal’ aufgrund seines aussagekräftigen Charakters sehr interessant und haben es deshalb näher untersucht. So konnten wir diese kritische Zero-Day-Schwachstelle entdecken“, berichtet Boris Larin, „Principal Security Researcher“ im „Global Research & Analysis Team“ (GReAT) bei Kaspersky.

Er kommentiert: „Die Geschwindigkeit, mit der Bedrohungsakteure diesen Exploit in ihr Arsenal integrieren, unterstreicht wie wichtig es ist, rechtzeitig Updates vorzunehmen und insgesamt immer wachsam zu bleiben, was die Cyber-Sicherheit betrifft.“

Nutzer sollten nun ihre Windows-Systeme aktualisieren

Kaspersky plane, technische Details zu „CVE-2024-30051“ zu veröffentlichen, „sobald genügend Zeit vergangen ist, damit die meisten Nutzer ihre ,Windows’-Systeme aktualisieren konnten“. Kaspersky habe sich bei Microsoft für die „prompte Analyse und Veröffentlichung von Patches“ bedankt.

Die Kaspersky-Produkte seien aktualisiert worden, um die Ausnutzung von „CVE-2024-30051“ und damit verbundener Malware mit den folgenden Ergebnissen zu erkennen:

• „PDM:Exploit.Win32.Generic“
• „PDM:Trojan.Win32.Generic“
• „UDS:DangerousObject.Multi.Generic“
• „Trojan.Win32.Agent.gen“
• „Trojan.Win32.CobaltStrike.gen“

Kaspersky verfolge den fortschrittlichen Banking-Trojaner „QakBot“ seit seiner Entdeckung im Jahr 2007. Ursprünglich für den Diebstahl von Bankdaten konzipiert, habe sich „QakBot“ erheblich weiterentwickelt und neue Funktionen erworben, wie E-Mail-Diebstahl, Keylogging und die Fähigkeit, sich selbst zu verbreiten sowie Ransomware zu installieren. Diese Malware sei für ihre häufigen Updates und Verbesserungen bekannt – dies mache sie zu einer ständigen Bedrohung in der Cyber-Sicherheitslandschaft. In den vergangenen Jahren sei beobachtet worden, dass „QakBot“ andere Botnets, wie beispielsweise „Emotet“, für die Verbreitung nutze.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 14.05.2024
QakBot attacks with Windows zero-day (CVE-2024-30051)

NIST, 25.04.2024
National Vulnerability Database: CVE-2024-30551 Detail

NIST, 25.04.2024
National Vulnerability Database: CVE-2023-36033 Detail

MICROSOFT, 14.04.2024
Windows DWM Core Library Elevation of Privilege Vulnerability / CVE-2024-30051 / Security Vulnerability

[datensicherheit.de, 17.03.2023] Die jüngste Berichterstattung über die „Outlook“-Schwachstelle „CVE-2023-23397“ hat Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, nach eigenen Angaben dazu veranlasst, dieses Thema nachfolgend etwas fundierter zu beleuchten.

Foto: Tenable

Satnam Narang: Es erforderte keine Benutzerinteraktion, was dies zu einer Null-Klick-Schwachstelle macht!

Outlook-Terminerinnerung kann missbraucht werden

„Innerhalb von 24 Stunden nach Veröffentlichung haben Forscher von MDSec bereits einen funktionalen Proof-of-Concept-Exploit für ,CVE-2023-23397‘ entwickelt, der verdeutlicht, wie einfach es ist, ihn auszunutzen“, berichtet Narang.

In diesem Beispiel hätten sie die Schwachstelle durch eine „Outlook“-Terminerinnerung ausnutzen können – „die auf dem Bildschirm erschien, nachdem die speziell gestaltete Nachricht vom E-Mail-Server empfangen und vom ,Outlook’-Client heruntergeladen wurde“.

CVE-2023-23397 in Outlook eine der Top-Schwachstellen des Jahres 2023

Narang betont: „Es erforderte keine Benutzerinteraktion, was dies zu einer Null-Klick-Schwachstelle macht.“ Darüber hinaus habe Microsoft bestätigt, dass dieser Fehler als „Zero Day“ im Rahmen begrenzter Angriffe eines in Russland ansässigen Bedrohungsakteurs auf Regierungs-, Transport-, Energie- und militärische Zielorganisationen in Europa ausgenutzt worden sei.

„Aufgrund der Einfachheit, mit der diese Schwachstelle ausgenutzt werden kann, glauben wir, dass es nur eine Frage der Zeit ist, bis sie in die Playbooks anderer Bedrohungsakteure, einschließlich Ransomware-Gruppen, aufgenommen wird“, so Narang. Bei Tenable gehen sie demnach davon aus, „dass ,CVE-2023-23397‘ eine der Top-Schwachstellen des Jahres 2023 wird“.

Outlook-Nutzer sollten das Patchen dieses Fehlers eher früher als später priorisieren

Wie in ihrem aktuellen „Threat Landscape Report 2022“ hervorgehoben, stellten bekannte Schwachstellen heute das größte Risiko für Unternehmen dar. Abschließend rät Narang:

„Jetzt, da ,CVE-2023-23397‘ von einem Zero-Day zu einer bekannten Schwachstelle geworden ist, empfehlen wir allen Organisationen, die Microsoft verwenden – vor allem ,Outlook’ – das Patchen dieses Fehlers eher früher als später zu priorisieren.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 16.03.2023
Aktive Ausnutzung einer Schwachstelle in Microsoft Outlook

Microsoft, 16.03.2023
Microsoft Outlook Elevation of Privilege Vulnerability / CVE-2023-23397 / Sicherheitsanfälligkeit

[datensicherheit.de, 07.02.2023] Laut einer aktuellen Meldung von Tenable sollen kürzlich Tausende von Computer-Servern Ziel eines weltweiten Ransomware-Hacking-Angriffs gewesen sein, welcher auf „VMware (VMW.N) ESXi-Server“ abgezielt habe – dies habe Italiens Nationale Agentur für Cybersicherheit (ACN) am 5. Februar 2023 mitgeteilt und Unternehmen gewarnt, um Maßnahmen zum Schutz ihrer Systeme zu ergreifen. Bei diesem Cyber-Angriff sei versucht worden, eine Software-Schwachstelle auszunutzen, habe Roberto Baldoni, „General Director“ bei der ACN, vermeldet und hinzugefügt, dass es sich um einen „massiven Angriff“ gehandelt habe.

Traurige Wahrheit: Bekannte Schwachstellen mit Exploit trotzdem von Unternehmen oft nicht gepatcht

Dieser erste Bericht habe sich mittlerweile bestätigt, denn weitere Regionen hätten ähnliche Warnungen ausgesprochen: Nach Angaben von „Politico“ seien Frankreich, Finnland und Italien die am stärksten betroffenen Länder in Europa, während die USA und Kanada ebenfalls eine hohe Zahl an Zielen aufwiesen.

„Die traurige Wahrheit ist, dass bekannte Schwachstellen, für die ein ,Exploit’ zur Verfügung steht, oft nicht gepatcht werden“, kommentiert Bernard Montel, „EMEA Technical Director and Security Strategist“ bei Tenable, und warnt: „Dies bringt Unternehmen in eine unglaubliche Gefahr, erfolgreich infiltriert zu werden.“ In diesem Fall, bei der zwei Jahre alten „VMware“-Schwachstelle, sei die Bedrohung angesichts der aktiven Ausnutzung „immens“.

Foto: Tenable

Bernard Montel: Unternehmen müssten sich beim Patchen entscheiden – ein paar Minuten Unannehmlichkeiten oder tagelange Unterbrechungen…

Virtualisierung Herzstück der Cloud-Strategie der meisten Unternehmen

Virtualisierung sei das Herzstück der „Cloud“-Strategie der meisten Unternehmen – „ob On-Premises, Public- oder Hybrid-Cloud, wobei der Hypervisor das Rückgrat der IT bildet“. Angreifer wüssten, dass sie auf diese Ebene zielen könnten, um ihre Privilegien zu erhöhen und Zugang zu allem zu erhalten. Montel führt aus: „Wenn sie in der Lage sind, sich Zugang zu verschaffen, können sie Malware einschleusen, um die Hypervisor-Ebene zu infiltrieren und eine Masseninfektion zu verursachen.“

Für viele Unternehmen stelle sich die Frage nach der Betriebszeit im Vergleich zur Frage, ob ein System zum Patchen offline genommen werden sollte. In diesem Fall könnte die Rechnung nicht einfacher sein – „ein paar Minuten Unannehmlichkeiten oder tagelange Unterbrechungen“.

Angreifer zielen auf Schwachstellen ab, um Administratorrechte zu missbrauchen und Unternehmens-Netzwerke zu durchdringen

Montel erläutert: „Wir wissen, dass Angreifer bekannte Schwachstellen, die beliebte Software betreffen, bevorzugen – einschließlich ,Open Source’, ,VMWare’, ,ManageEngine’, ,PrintNightmare’ und ,ProxyShell’. Die Angreifer zielen auf diese Schwachstellen ab, da sie wissen, dass sie Administratorrechte missbrauchen können, um das Netzwerk zu durchdringen und Schaden anzurichten oder sogar empfindliche Informationssysteme und Daten als Erpressung zu nutzen.“

Um die Kontinuität des Geschäftsbetriebs zu gewährleisten, müssten die Sicherheitsteams herausfinden, „wie sie ausgenutzte Schwachstellen beheben und gleichzeitig die Auswirkungen auf das Unternehmen minimieren können, anstatt bekannte Schwachstellen unbehandelt zu lassen“, so Montel abschließend.

Weitere Informationen zum Thema:

POLITICO, Elena Giordano, 05.02.2023
Ransomware hacking campaign targets Europe and North America, Italy warns / France, Finland and Italy are the most affected countries in Europe, while the US and Canada also have a high number of targets

heise online, Dirk Knop, 05.02.2023
Ransomware: Italiens Cyber-Sicherheitsbehörde warnt vor weltweiter Attacke / Die italienische Cyber-Sicherheitsbehörde ACN warnt vor einer aktuellen Ransomware-Attacke, die tausende Server weltweit betreffe

datensicherheit.de, 06.02.2023
Torsten George warnt: Angriffsfläche für Endgeräte wächst – die Schwachstellen bleiben / George erörtert, wie Unternehmen im Wettrennen um Mobile Security aufholen können

[datensicherheit.de, 22.08.2022] „Kürzlich warnte Apple alle Nutzerinnen und Nutzer vor einer Sicherheitslücke auf ,iPads’, ,iPhones’ und ,Macs’, bei der Hacker die Kontrolle über die Geräte übernehmen können“, berichtet Lothar Geuenich, „VP Central Europe / DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme und rät allen, welche ein betroffenes Apple-Gerät besitzen, „so schnell wie möglich auf die neueste Software zu aktualisieren“.

Foto: CHECK POINT

Lothar Geuenich: Bedrohungslandschaft entwickelt sich rasant weiter!

Cyber-Kriminelle werden nach jedem nicht aktualisierten Apple-Gerät Ausschau halten

Cyber-Kriminelle würden nach jedem Gerät Ausschau halten, das nicht aktualisiert wurde, „um auf persönliche Daten zuzugreifen, Malware einzuschleusen oder Zugang zu Unternehmensnetzwerken zu erhalten“, warnt Geuenich.

Die Bedrohungslandschaft entwickele sich rasant weiter, und mobile Schwachstellen und Malware stellten eine erhebliche und oft übersehene Gefahr für die Sicherheit von Privatpersonen und Unternehmen dar.

Nicht nur für Apple: Installation von Sicherheitssoftware auf Basis von Echtzeit-Bedrohungsdaten empfohlen

Check Point Software empfiehlt demnach zusätzlich die Installation von Sicherheitssoftware, die Echtzeit-Bedrohungsdaten nutzt, um aktiv vor Zero-Day-Phishing-Kampagnen zu schützen, und URL-Filter, um den Zugriff auf bösartige Websites von jedem Browser aus zu blockieren.

Geuenich erläutert: „Diese Lösung sollte zusätzlich eine Zugangskontrolle enthalten, die sicherstellt, dass ein infiziertes Gerät nicht auf Unternehmensanwendungen und -daten zugreifen kann, ohne die Mitarbeiter zu stören oder ihre Produktivität zu beeinträchtigen.“

Weitere Informationen zum Thema:

tagesschau, 19.08.2022
Update empfohlen / Apple warnt vor Sicherheitslücke

WDR, 19.08.2022
Sicherheitslücke bei Apple: Fast alle Geräte betroffen