[datensicherheit.de, 12.08.2025] Tenable meldet, dass aktuell vermehrt Berichte über eine Post-Compromise-Schwachstelle auftauchen, welche es demnach Angreifern ermöglicht, in hybriden „Microsoft Exchange“-Umgebungen unbemerkt ihre Berechtigungen zu erweitern und Zugriff auf besonders sensible Systeme zu erlangen – Microsoft stuft diese Schwachstelle gemäß des „Microsoft Exploitability Index“ als „kritisch“ ein. Scott Caveza, „Senior Staff Research Engineer“ bei Tenable, geht in seiner Stellungnahme auf die Schwachstelle „CVE-2025-53786“ ein:

Foto: Tenable

Scott Caveza:

In hybriden „Microsoft Exchange“-Umgebungen derzeit keine verlässliche Möglichkeit zur Protokollierung

„CVE-2025-53786“ sei eine besonders attraktive Post-Compromise-Schwachstelle, da sie es Angreifern ermögliche, unbemerkt ihre Berechtigungen zu erweitern und Zugriff auf besonders sensible Systeme zu erlangen.

Diese Aktivität könne leicht unentdeckt bleiben, da es aufgrund bestimmter Koexistenzfunktionen in hybriden „Exchange“-Umgebungen derzeit keine verlässliche Möglichkeit zur Protokollierung gebe.

Empfehlungen von Microsoft folgen, um diese Bedrohung zu beseitigen!

Diese Schwachstelle unterstreiche die Notwendigkeit, hybride Umgebungen konsequent abzusichern, und werfe neue Fragen zur strikten Trennung von „On-Premises“- und „Cloud“-Umgebungen auf.

„Jede Organisation, die das April-Hotfix noch nicht eingespielt hat, muss davon ausgehen, verwundbar zu sein – und sollte umgehend den Empfehlungen von Microsoft folgen, um diese Bedrohung zu beseitigen!“, so Caveza dringende Empfehlung.

Weitere Informationen zum Thema:

tenable, Scott Caveza, 07.08.2025
CVE-2025-53786: Frequently Asked Questions About Microsoft Exchange Server Hybrid Deployment Elevation of Privilege Vulnerability

tenable
Scott Caveza

NIST, National Vulnerability Database
CVE-2025-53786 Detail

Microsoft
Microsoft Exchange Server Hybrid Deployment Elevation of Privilege Vulnerability / CVE-2025-53786 / Security Vulnerability

datensicherheit.de, 18.04.2025
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

[datensicherheit.de, 10.05.2025] Der aktuelle „Verizon Data Breach Investigations Report“ zeigt auf, dass die Ausnutzung von Schwachstellen zu einem der am häufigsten genutzten Angriffsvektoren geworden ist und mittlerweile als Ausgangspunkt für 20 Prozent aller „Breaches“ dient – demnach ein Anstieg von 34 Prozent gegenüber dem Vorjahresbericht. Dieser sei unter anderem zurückzuführen auf die Ausnutzung von „Zero Days“ in VPNs und sogenannten Edge-Geräten. Der Report hebt 17 CVEs im Zusammenhang mit „Edge“-Geräten, welche nach wie vor attraktive Ziele für Angreifer darstellen, hervor. „Tenable Research“ hat nun detaillierte Schwachstellendaten zu diesen 17 CVEs bereitgestellt und u.a. untersucht, wie Unternehmen bei deren Behebung abschneiden.

Abbildung: verizon business

„2025 Data Breach Investigations Report“ zu Schachstellen in Unternehmen

Priorisierung kritischer Schwachstellen

Scott Caveza, „Senior Staff Research Engineer“ bei Tenable, geht in seiner aktuellen Stellungnahme auf den vorliegenden „Verizon Data Breach Investigations Report“ ein: „Die Zahl neuer Schwachstellen steigt weiterhin rapide an und beschert Cyber-Sicherheitsexperten eine schier endlose ,To-do’-Liste.“

• Grundsätzlich sollten die kritischsten Schwachstellen ganz oben auf dieser Liste stehen, insbesondere bei sogenannten Edge-Geräten, den metaphorischen Toren zu Unternehmensumgebungen.

„Für eine fundierte Priorisierung und Behebung ist jedoch auch der Kontext rund um eine bestimmte Schwachstelle entscheidend – also wo in der Umgebung sie sich befindet, welche Daten oder Systeme potenziell gefährdet sind, wie leicht sie ausgenutzt werden kann, ob ein ,Proof-of-Concept’ existiert und vieles mehr.“ Caveza betont: „Die größte und gefährlichste Schwachstelle könnte je nach Kontext in einigen Fällen sogar unproblematisch sein.“

17 Schwachstellen im Zusammenhang mit „Edge“-Geräten untersucht.

Caveza berichtet: „Für den ,Verizon Data Breach Investigations Report’ haben wir 17 Schwachstellen im Zusammenhang mit ,Edge’-Geräten untersucht. Jede davon betrifft attraktive Ziele für Angreifer und fungiert häufig als Einstiegspunkt für ,Breaches’.“ Angesichts ihrer Bedeutung gebe es, wenn überhaupt, nur sehr wenige Fälle, in denen es sinnvoll sei, „Edge“-Geräte mit einer kritischen Schwachstelle ungeschützt zu lassen.

• Obwohl 54 Prozent der Unternehmen diese 17 CVEs vollständig behoben hätten, zeigten ihre Daten, „dass die durchschnittliche Zeit bis zur Behebung 209 Tage beträgt“ – was insbesondere deswegen besorgniserregend sei, weil Angreifer zur Ausnutzung durchschnittlich nur fünf Tage benötigten.

„Unsere Untersuchung macht deutlich, dass noch viel Arbeit vor uns liegt“, so Caveza abschließend. Die von Verizon in Zusammenarbeit mit Tenable gesammelten Daten unterstrichen die Notwendigkeit, bekannte Schwachstellen zu beheben, und lieferten wertvolle Erkenntnisse, die Unternehmen dabei helfen sollen, ihre Netzwerke, Geräte und Mitarbeiter zu schützen.

Weitere Informationen zum Thema:

verizon business, 2025
2025 Data Breach Investigations Report

tenable, Scott Caveza, 23.04.2025
Verizon 2025 DBIR: Tenable Research Collaboration Shines a Spotlight on CVE Remediation Trends

datensicherheit.de, 02.05.2025
Erkenntnisse aus dem Verizon Data Breach Investigation Report (DBIR) 2025 / Der Bericht macht die Notwendigkeit eines ganzheitlichen Sicherheitsansatzes deutlich

datensicherheit.de, 23.04.2025
Data Breach Investigations Report (DBIR) 2025 von Verizon: Systemangriffe in der EMEA-Region verdoppeln sich / Der aktuelle Bericht analysiert mehr als 22.000 Sicherheitsvorfälle

datensicherheit.de, 10.06.2020
Der Data Breach Investigation Report von Verizon aus OT-Security-Sicht / Konsequentes Patchen ist der Schlüssel für effektives Schwachstellenmanagement

[datensicherheit.de, 17.04.2025] Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, widmet sich in seiner aktuellen Stellungnahme der Finanzierung des „CVE-Programms“ (Common Vulnerabilities and Exposures) sowie verwandter Initiativen wie des „CWE-Programms“ (Common Weakness Enumeration) – diese soll demnach nicht verlängert werden. Diese unklare Zukunft des „CVE-Programms“ sorgt für große Unsicherheit in der IT-Sicherheitsgemeinschaft – insbesondere in Bezug darauf, wie neu entdeckte Schwachstellen künftig erfasst und katalogisiert werden sollen.

Foto: Tenable

Satnam Narang: Tenable behält weitere Entwicklungen im CVE-Umfeld im Auge

Seit 1999 war das „CVE-Programm“ eine tragende Säule der Cyber-Sicherheitslandschaft

Narang kommentiert: „Die angekündigte Einstellung der Finanzierung des ,MITRE CVE-Programms’ hat verständlicherweise Besorgnis unter IT-Sicherheitsexperten und Unternehmen ausgelöst.“

• Er führt aus: „Seit seiner Einführung im Jahr 1999 ist das ,CVE-Programm’ eine tragende Säule der Cyber-Sicherheitslandschaft und hat mit seiner einheitlichen Taxonomie die Nachverfolgung von über 250.000 CVEs bis Ende 2024 ermöglicht.“ Ob die Finanzierung tatsächlich eingestellt wird, sei zwar noch offen – sollte es jedoch dazu kommen, wären die Auswirkungen weitreichend.

Sogenannte CVE Numbering Authorities (CNAs) sind für die Reservierung und Vergabe von CVE-Kennungen zuständig. „Zwar können CNAs CVEs vorab reservieren, doch angesichts der schieren Menge an Schwachstellen ist der Vorrat an verfügbaren Kennungen schnell erschöpft.“

CVE quasi gemeinsame Sprache zur Beschreibung von Schwachstellen und Sicherheitslücken

CVE sei die gemeinsame Sprache, wenn es um Schwachstellen und Sicherheitslücken geht. „Sollte dieses System wegfallen, ist unklar, was an seine Stelle treten könnte.“

• Es könnten sich zwar verschiedene Alternativen herausbilden, doch ohne einen klaren Standard drohe ein ähnliches Durcheinander wie bei der Benennung von Bedrohungsakteuren – ohne einheitliche Bezeichnungen und mit eingeschränkter Vergleichbarkeit.

Darüber hinaus biete das „CVE-Programm“ einen zentralen Rahmen zur Nachverfolgung der Vergabe von CVEs, an dem sich viele Unternehmen orientierten. „Wir behalten die weiteren Entwicklungen rund um die mögliche Einstellung der Finanzierung im Auge“, so Narang.

Nachtrag der ds-Redaktion [18.04.2025]:
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

Weitere Informationen zum Thema:

CVE
CVE® Program Mission: Identify, define, and catalog publicly disclosed cybersecurity vulnerabilities / There are currently over 274,000 CVE Records accessible via Download or Keyword Search above

connect, Leif Bärler, 16.04.2025
Globale Cybersicherheit in Gefahr / Finanzierung des CVE-Programms läuft aus / Das System zur Identifizierung von IT-Schwachstellen, das Common Vulnerabilities and Exposures (CVE)-Programm, steht mangels Finanzierung vor einer ungewissen Zukunft.

golem.de, Mike Faust, 16.04.2025
CVE-Finanzierung unklar: Datenbank für kritische Sicherheitslücken gefährdet / Für die Fortsetzung des CVE-Programms, der internationalen Datenbank für Sicherheitslücken, stehen keine finanziellen Mittel mehr zur Verfügung.

tenable, 15.04.2025
MITRE CVE Program Funding Set To Expire / MITRE’s CVE program has been an important pillar in cybersecurity for over two decades. The lack of clarity surrounding the future of the CVE program creates great uncertainty about how newly discovered vulnerabilities will be cataloged.

datensicherheit.de, 17.04.2025
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA / Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit

[datensicherheit.de, 30.09.2024] Vor Kurzem wurden im „Linux“-Drucksystem „CUPS“ teils Kritische Sicherheitslücken entdeckt, über welche Angreifer beispielsweise schädlichen Code einschmuggeln könnten. Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, kommentiert in seiner aktuellen Stellungnahme diesen Vorfall:

Foto: Tenable

Satnam Narang: Entdeckte CUPS-Schwachstellen offenbar nicht so schwerwiegend wie z.B. „Log4Shell“ oder „Heartbleed“

Satnam Narang sieht in diesem Zusammenhang den Kontext als entscheidend an

Der Kontext sei in diesem Zusammenhang entscheidend. Narang erläutert: „Es ist wahrscheinlich, dass die ,CVSS-Scores’ für die Schwachstellen im ,CUPS’-Drucksystem – einschließlich der mit einem Score von 9,9 – nach unten korrigiert werden.“ Da die Offenlegung aus irgendeinem Grund vor dem geplanten Datum durchgesickert sei, seien die Details eilig nachgereicht worden, und die Hersteller seien immer noch dabei, „Advisories und Patches für diese Schwachstellen“ zusammenzustellen.

„Nach allem, was wir bisher erfahren haben, sind diese Schwachstellen nicht so schwerwiegend wie ,Log4Shell’ oder ,Heartbleed’“, so Narang. Tatsächlich gebe es unzählige Schwachstellen in einer breiten Palette von Software – sei es „Open Source“ oder „Closed Source“ –, welche noch entdeckt und offengelegt werden müssten.

Satnam Narang warnt vor APT-Gruppen mit Verbindungen zu Nationalstaaten und Ransomware-Banden

„Security-Research ist in diesem Prozess von entscheidender Bedeutung, und wir können und sollten mehr von den Software-Herstellern verlangen“, betont Narang. Die CISA-Direktorin, Jen Easterly, habe dies kürzlich in einer Keynote sehr treffend auf den Punkt gebracht.

Abschließend gibt Satnam Narang zu bedenken: „Für Unternehmen, die sich gegen diese neuesten Schwachstellen wappnen, ist es wichtig zu betonen, dass die schwerwiegendsten und beunruhigendsten die bekannten Schwachstellen sind, die weiterhin von APT-Gruppen mit Verbindungen zu Nationalstaaten und Ransomware-Banden ausgenutzt werden, die Unternehmen jedes Jahr um Millionen von Dollar bringen.“

Weitere Informationen zum Thema:

datensicherheit.de, 27.09.2024
Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen / „CUPS“ (Common Unix Printing System) ist das Standard-Drucksystem für viele „Unix“-ähnliche Betriebssysteme wie „GNU/Linux“

[datensicherheit.de, 27.08.2024] Tenable® hat nach eigenen Angaben im Rahmen einer der aktuellen Studie „The Critical Few: How to Expose and Close the Threats that Matter“ die wichtigsten Schwachstellen in Unternehmen identifiziert und möchte in der damit verbundenen Stellungnahme konkrete Handlungsempfehlungen zur Behebung potenziell businesskritischer Cyber-Bedrohungen geben. „In den vergangenen zwei Jahrzehnten hat Tenable rund 50 Billionen Datenpunkte zu mehr als 240.000 Schwachstellen gesammelt und analysiert. Aufsetzend auf diesen umfangreichen Datensatz hat Tenable eine Methodik entwickelt, die zeigt, dass in der Regel nur drei Prozent dieser Schwachstellen in folgenschweren Breaches resultieren.“

Abbildung: tenable

Tenable Research Report „The critical few“

Schwachstellen mit einem VPR über 9,0 werden mit hoher Wahrscheinlichkeit ausgenutzt

„Security-Teams sind mit Unmengen fragmentierter Schwachstellen- und Threat-Intelligence-Daten konfrontiert. Tenable hat diese Studie durchgeführt, um die Teams dabei zu unterstützen, auf eine proaktive Cybersecurity-Strategie umzusatteln und sich auf die Behebung der kritischsten Bedrohungen zu konzentrieren.“ Die vorliegende Studie greife auf das VPR-Modell (Vulnerability Priority Rating) zurück, „das Tenable entwickelt hat, um die aktuelle Bedrohungslandschaft abzubilden“. Die VPR-Werte reichten von 0,1 bis 10, wobei höhere Werte auf eine höhere Wahrscheinlichkeit einer Ausnutzung hinwiesen.

Schwachstellen mit einem VPR über 9,0 würden mit hoher Wahrscheinlichkeit ausgenutzt, wenn sie entdeckt werden – und sollten auf der Prioritätenliste ganz oben stehen. Schwachstellen mit einem VPR zwischen 7,0 und 8,9 stellten dagegen ein moderates Risiko dar, während Schwachstellen der Kategorien „Medium“ und „Low“ (0,1 bis 6,9) weniger wahrscheinlich ausgenutzt würden.

Ein Beispiel: „Von den fast 240.000 im Rahmen der Studie am 2. Juni 2024 analysierten Schwachstellen fielen nur 3,1 Prozent – weniger als 7.500 – in die Kategorien ,Critical’ oder ,High’.“

Ohne Kontext müsste jede Schwachstelle als „kritisch“ gelten…

„Ohne Kontext ist jede Schwachstelle, jeder Patch und jedes Update kritisch – und es wird fast unmöglich, alle Systeme up to date zu halten“, so Roger Scheer, „Regional Vice President Central Europe“ bei Tenable.

Er betont: „Exposure Management ist unerlässlich, wenn es darum geht, klar zu priorisieren, was wirklich ein Risiko für das Business darstellt. Alle Stakeholder müssen diese Risiken verstehen und diejenigen, die in einem Breach resultieren könnten, priorisiert adressieren!“

Indem sie sich auf die kritischsten Schwachstellen fokussierten, könnten Unternehmen ihre „Security Posture“ stärken und Ressourcen effektiver einsetzen. Dabei sei entscheidend, „dass die Unternehmensführung diesen Ansatz mitträgt und proaktive Maßnahmen ergreift, um kritische ,Assets’ zu schützen“, unterstreicht Scheer abschließend.

Weitere Informationen zum Thema:

tenable
Tenable Research Report / The critical few: how to focus on the exposures that matter

[datensicherheit.de, 27.03.2024] Im Zusammenhang mit dem diesjährigen „World Backup Day“ am 31. März 2024 erläutert Bernard Montel, „EMEA Technical Director and Security Strategist“ bei Tenable, in seiner aktuellen Stellungnahme, auf welche Faktoren Unternehmen im Rahmen der Datensicherung besonders achten müssten, um ihre sensiblen Daten zu schützen:

Foto: Tenable

Bernard Montel: Die beste Offensive ist jedoch eine solide Defensive!

Montel rät: Der World Backup Day sollte Veränderungen anstoßen

„Auch wenn es den Anschein hat, als gäbe es für alles einen Tag, zielt doch jeder einzelne darauf ab, das Bewusstsein für ein bestimmtes Thema zu schärfen – sei es im Zusammenhang mit der Gesundheit, der Gesellschaft oder, wie im Falle des ,World Backup Day’, um Veränderungen anzustoßen“, so Montel.

Wenn es nun um Datensicherung gehe, gebe es eine Reihe treibender Faktoren: Der offensichtlichste sei wohl die schnelle Wiederherstellung, wenn etwas schiefgeht – sei es ein Geräteausfall, menschliches Versagen oder eine Manipulation durch Dritte, wie etwa Ransomware.

Doch Backup sei nicht gleich Backup und es gehe nicht nur darum, eine Checkliste abzuhaken. Unternehmen sollten sich zum diesjährigen „World Backup Day“ einen Moment Zeit nehmen, „darüber nachzudenken, warum sie ihre Daten sichern und wie sie das tun“.

Laut Montel gilt es, sich mit dem individuellen Risikoprofil auseinanderzusetzen, Schwachstellen zu identifizieren und deren Behebung zu priorisieren

Ransomware-Banden hätten ihre Taktiken weiterentwickelt und seien mitunter in der Lage, auch gesicherte Daten zu kompromittieren. „Indem Unternehmen Backups verschlüsseln, können sie die Auswirkungen von Ransomware auf diese Daten begrenzen – obwohl Bedrohungsakteure sie immer noch abgreifen könnten.“

Daher sollten Unternehmen sich auch Gedanken darüber machen, wie sie Kodierungsschlüssel managen. „Third-Party-Angebote stellen hier eine gangbare Option dar. Das Risiko zu verteilen und Backups auf einem anderen als dem Backup-Server-Betriebssystem zu speichern, ist ebenfalls ratsam.“

All diese Maßnahmen tragen laut Montel dazu bei, die Auswirkungen eines Ransomware-Angriffs zu begrenzen. „Die beste Offensive ist jedoch eine solide Defensive: Wenn Unternehmen also über ihre Backup-Strategie nachdenken, sollten sie sich auch mit ihrem individuellen Risikoprofil auseinandersetzen, Schwachstellen identifizieren und deren Behebung priorisieren.“

Weitere Informationen zum Thema:

datensicherheit.de, 28.03.2024
Status Quo zusätzlicher Datensicherung: ExpressVPN-Umfrage zum World Backup Day 2024 / Jährlicher World Backup Day gemahnt daran, sensible Daten entsprechend sorgfältig zu sichern

datensicherheit.de, 26.03.2024
World Backup Day 2024: Backup für Cyber-Sicherheit notwendig, aber noch nicht hinreichend / Cyber-Kriminelle haben es oft direkt auf gesicherte Daten abgesehen

[datensicherheit.de, 05.09.2023] Tenable kommentiert in einer aktuellen Stellungnahme Erkenntnisse des Branchenverbands Bitkom, dass Cyber-Kriminalität in Deutschland im Jahr 2023 mutmaßlich 206 Milliarden Euro Kosten verursachen werde, geht auf eine eigene Studie ein und legt selbst Zahlen vor.

Cyber-Sicherheit deutscher Unternehmen könnte 2023 Schäden von rund 206 Milliarden Euro erleiden

Der Diebstahl von IT-Geräten und Daten sowie digitale Spionage, Wirtschaftsspionage und Sabotage werden laut Bitkom Deutschland im Jahr 2023 rund 206 Milliarden Euro kosten. Der Schaden werde das dritte Jahr in Folge die 200-Milliarden-Euro-Marke überschreiten, so ein Ergebnis einer Bitkom-Umfrage unter mehr als 1.000 Unternehmen.

„Die deutsche Wirtschaft ist ein hochattraktives Ziel für Kriminelle und feindliche Staaten. Die Grenzen zwischen Organisierter Kriminalität und staatlich gelenkten Akteuren sind fließend“, so der Bitkom-Präsident, Ralf Wintergerst.

Foto: Tenable

Dipl.-Ing. Roger Scheer rät dringend, Angriffswege innerhalb der Cyber-Infrastruktur frühzeitig zu identifizieren und Schwachstellen zu beseitigen

Cyber-Prävention schon lange Herausforderung für Sicherheitsteams

„Die Bedrohung durch Cyber-Angriffe war noch nie so akut wie heute, insbesondere angesichts der gestiegenen Gefahr von geopolitisch initiierten Angriffen. Das Problem, mit dem die meisten Unternehmen konfrontiert sind, ist die Verteidigung, denn Prävention ist schon lange eine Herausforderung für Sicherheitsteams“, kommentiert Roger Scheer, „Regional Vice President of Central Europe“ bei Tenable.

Die Durchführung von Schwachstellen-Analysen, die Interpretation der Ergebnisse und die Festlegung von Maßnahmen zur Behebung und Verringerung des Risikos sei traditionell ein zeitaufwändiger Prozess, welcher die Unternehmenssicherheit in einen reaktiven Modus versetze.

72 Prozent der deutschen Cybersecurity- und IT-Profis benötigen mehr Ressourcen

Laut einer von Tenable beauftragten, von Forrester Consulting im Mai 2023 durchgeführten Studie sagten 50 Prozent der deutschen Cybersecurity- und IT-Profis, dass das Sicherheitsteam zu sehr mit der Bekämpfung kritischer Vorfälle beschäftigt sei, um einen präventiven Ansatz zur Verringerung der Gefährdung ihres Unternehmens zu verfolgen.

Darüber hinaus glaubten 72 Prozent der deutschen Cybersecurity- und IT-Profis, dass ihr Unternehmen erfolgreicher bei der Abwehr von Cyber-Angriffen wäre, wenn sie mehr Ressourcen für präventive Cyber-Sicherheit bereitstellen könnten.

Sicherheitsteams sollten unbedingt präventiven Ansatz für Cyber-Abwehr verfolgen

Jeden Tag würden Schwachstellen aufgedeckt, und Angreifer warteten nur darauf, „dass sich diese zu Geld machen lassen“. Anstatt darauf zu warten, angegriffen zu werden, und dann zu reagieren, müssten Sicherheitsteams einen präventiven Ansatz für die Cyber-Abwehr verfolgen.

Scheer verdeutlicht: „Die Notwendigkeit, die eigene Angriffsfläche zu verstehen und das Risiko für das Unternehmen proaktiv zu managen, war noch nie so dringend wie heute. Verteidiger müssen vorhersehen, wie Angreifer in Systeme eindringen, um sie fernzuhalten.“ Es gelte, die Angriffswege innerhalb der Infrastruktur frühzeitig zu identifizieren und Maßnahmen zu ergreifen, um die Schwachstellen zu beseitigen – „bevor sie ausgenutzt werden können“.

Weitere Informationen zum Thema:

bitkom, 01.09.2023
Organisierte Kriminalität greift verstärkt die deutsche Wirtschaft an

[datensicherheit.de, 29.06.2023] „Sichere Unternehmen setzen sichere Mitarbeiter voraus“, betont Tenable und gibt in einer aktuellen Stellungnahme Empfehlungen zum „World Social Media Day“. Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, bekannt geworden durch seine Beiträge zur „Arbeitsgruppe für Anti-Phishing“, zur „National Cyber Security Alliance“ und dafür, dass er der erste Forscher gewesen sei, „der über den Betrug von ,Tinder Bot’ berichtete“, kommentiert den „World Social Media Day“ am 30. Juni 2023:

Foto: Tenable

Satnam Narang: Bestimmte Betrügereien haben sich gerade mit Social-Media-Plattformen immer weiterentwickelt…

Narangs Warnung: Viele nutzen sowohl Unternehmens-IT als auch dienstlich genutzte private Geräte für Social Media

Da viele Menschen sowohl die Unternehmens-IT als auch ihre geschäftlich genutzten privaten Geräte für den Zugang zu „Social Media“ einsetzten, hingen Sicherheitsrisiken für Unternehmen nicht selten mit der unsicheren Nutzung eben von „Social Media“ zusammen.

„Während wir den ,World Social Media Day’ feiern, ist es wichtig, sich daran zu erinnern, dass sich bestimmte Betrügereien gerade mit den Plattformen für ,Social Media’ immer weiterentwickelt haben.“ Die heutigen Betrügereien im Umfeld von „Social Media“ seien inzwischen komplex und kreativ: Sie beruhten auf mehreren Interaktionen über verschiedene Plattformen hinweg und nutzten das verbreitete Vertrauen der Anwender in ihre Online-Interaktionen und die globale Reichweite aus, warnt Narang.

Anwender sollten im Internet prinzipiell skeptisch eingestellt sein, rät Narang

„Soziale Medien sind zu einer der attraktivsten Spielwiesen für Cyber-Kriminelle geworden, und die Anwender sollten im Internet prinzipiell skeptisch eingestellt sein, um die Risiken von Identitätsdiebstahl und Finanzbetrug zu verringern“, führt Narang weiter aus. Ein vor kurzem veröffentlichter Bericht der Federal Trade Commission der USA zeige auf, dass im Jahr 2022 bereits 8,8 Milliarden US-Dollar durch betrügerische Handlungen verloren gegangen seien. Narang: „Das sind 30 Prozent mehr als im Jahr zuvor!“

Da sich die Werkzeuge für sogenannte Künstliche Intelligenz (KI) ständig weiterentwickelten und immer leichter zugänglich würden, sei es nur noch eine Frage der Zeit, „bis Betrüger und Cyber-Kriminelle diese Technologien intensiv anwenden werden“. Mehr denn je müssten sich die heutigen Nutzer der IT bewusst sein, dass Betrug inzwischen ein fester Bestandteil der Sozialen Medien geworden sei – „und dass prinzipiell jeder darauf hereinfallen kann“.

Narang gibt Tipps zum sicheren Umgang mit Social Media

Narang empfiehlt nach eigenen Angaben deshalb die folgenden Maßnahmen, um nicht zum Opfer von Betrügereien im Umfeld von „Social Media“ zu werde und auch zu verhindernt, „dass Kriminelle via ,Social Media’ auf Unternehmens-IT gelangen“:

Gesunde Skepsis gegenüber „Social Media“!
„Man sollte immer skeptisch gegenüber allem sein, was man so in den Sozialen Medien zu sehen bekommt“, rät Narang: Da sich die „Social Media“- Plattformen weiterentwickelten, sei es bedingt durch Wachstumsphasen oder durch wirtschaftliche Veränderungen (einschließlich eines Personalabbaus in spezialisierten Teams), sollten die Anwender prinzipiell sehr skeptisch eingestellt sein gegenüber allem, was sie in Sozialen Medien zu sehen bekommen. „Und sie sollten verstehen, dass Erwartungen letztlich für jede bestehende Plattform unrealistisch sind, jeden einzelnen Betrug rechtzeitig zu erkennen. Betrüger sind auf ihre Weise unerbittlich, so dass sie Mittel und Wege finden werden, um bestehende Mechanismen zur Erkennung und Blockierung verdächtigen Verhaltens zu umgehen.“

Profile immer sorgfältig prüfen!
In den meisten Fällen erstellten Betrüger gefälschte Anwender-Konten und Profile, „die wenig bis gar kein Engagement, keine Beiträge oder Follower aufweisen“. In einigen Fällen würden sich die Betrüger in bestehende Konten mit einer großen Fangemeinde einschleichen, aber der von ihnen beigetragene Inhalt passe nicht so richtig zu diesen Seiten. „Die genaue Untersuchung solcher Profile kann dabei helfen, die meisten gefälschten Profile oder potenziellen Betrügereien rechtzeitig zu erkennen.“

Aufforderung, eine Plattform zu verlassen, ist prinzipiell unseriös!
„Wenn jemand, den man vor Kurzem auf einer Social-Media-App kennengelernt hat, einen plötzlich bittet, aus irgendeinem Grund auf eine andere Plattform zu wechseln, sollte man davon ausgehen, dass man damit versucht, Kontrollen wie zum Beispiel die Moderation der Plattform zu umgehen.“ Indem man nämlich die Anwender auf Textnachrichten oder „WhatsApp“ verweist, könnten Betrüger ihre Aktivitäten mit weniger Angst davor durchführen, erwischt zu werden. In manchen Fällen seien die Betrüger auf einer Plattform nicht dieselben Personen wie jene außerhalb dieser Plattform. „Zum Beispiel kann es sein, dass Betrüger in den Sozialen Medien nur über schlechte Englischkenntnisse verfügen, während ihre Kollegen außerhalb der Plattform die englische Sprache gut beherrschen.“

Unaufgeforderte Links zum Besuch einer externen Web-Seite ignorieren!
Man sollte keine sensiblen Informationen auf einer unbekannten Web-Seite preisgeben. „Man sollte sich nicht dort anmelden oder dort Produkte einkaufen, bevor man nicht nach der ursprünglichen Web-Seite gesucht und die im Sozialen Netzwerk geteilten Links mit denen der offiziellen Seite verglichen hat.“ Um dem Betrug mit Krypto-Währungen zu entgehen, sollte man seine Krypto-Währungs-Geldbörsen nicht blindlings mit nicht vertrauenswürdigen Web-Seites verbinden.

Bestehende Funktionen der verschiedenen Plattformen ausnutzen, um verdächtige Kanäle zu melden!
„Wenn man den Verdacht hat, dass man zum Opfer eines Betrügers geworden ist, sollte man die bestehenden Meldefunktionen der einzelnen Plattformen verwenden, um diese Betrügereien zu melden.“ Auf diese Weise trage man auch dazu bei, dass nicht weitere Web-Besucher in Zukunft hereingelegt werden können.

[datensicherheit.de, 17.03.2023] Die jüngste Berichterstattung über die „Outlook“-Schwachstelle „CVE-2023-23397“ hat Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, nach eigenen Angaben dazu veranlasst, dieses Thema nachfolgend etwas fundierter zu beleuchten.

Foto: Tenable

Satnam Narang: Es erforderte keine Benutzerinteraktion, was dies zu einer Null-Klick-Schwachstelle macht!

Outlook-Terminerinnerung kann missbraucht werden

„Innerhalb von 24 Stunden nach Veröffentlichung haben Forscher von MDSec bereits einen funktionalen Proof-of-Concept-Exploit für ,CVE-2023-23397‘ entwickelt, der verdeutlicht, wie einfach es ist, ihn auszunutzen“, berichtet Narang.

In diesem Beispiel hätten sie die Schwachstelle durch eine „Outlook“-Terminerinnerung ausnutzen können – „die auf dem Bildschirm erschien, nachdem die speziell gestaltete Nachricht vom E-Mail-Server empfangen und vom ,Outlook’-Client heruntergeladen wurde“.

CVE-2023-23397 in Outlook eine der Top-Schwachstellen des Jahres 2023

Narang betont: „Es erforderte keine Benutzerinteraktion, was dies zu einer Null-Klick-Schwachstelle macht.“ Darüber hinaus habe Microsoft bestätigt, dass dieser Fehler als „Zero Day“ im Rahmen begrenzter Angriffe eines in Russland ansässigen Bedrohungsakteurs auf Regierungs-, Transport-, Energie- und militärische Zielorganisationen in Europa ausgenutzt worden sei.

„Aufgrund der Einfachheit, mit der diese Schwachstelle ausgenutzt werden kann, glauben wir, dass es nur eine Frage der Zeit ist, bis sie in die Playbooks anderer Bedrohungsakteure, einschließlich Ransomware-Gruppen, aufgenommen wird“, so Narang. Bei Tenable gehen sie demnach davon aus, „dass ,CVE-2023-23397‘ eine der Top-Schwachstellen des Jahres 2023 wird“.

Outlook-Nutzer sollten das Patchen dieses Fehlers eher früher als später priorisieren

Wie in ihrem aktuellen „Threat Landscape Report 2022“ hervorgehoben, stellten bekannte Schwachstellen heute das größte Risiko für Unternehmen dar. Abschließend rät Narang:

„Jetzt, da ,CVE-2023-23397‘ von einem Zero-Day zu einer bekannten Schwachstelle geworden ist, empfehlen wir allen Organisationen, die Microsoft verwenden – vor allem ,Outlook’ – das Patchen dieses Fehlers eher früher als später zu priorisieren.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 16.03.2023
Aktive Ausnutzung einer Schwachstelle in Microsoft Outlook

Microsoft, 16.03.2023
Microsoft Outlook Elevation of Privilege Vulnerability / CVE-2023-23397 / Sicherheitsanfälligkeit

[datensicherheit.de, 07.02.2023] Laut einer aktuellen Meldung von Tenable sollen kürzlich Tausende von Computer-Servern Ziel eines weltweiten Ransomware-Hacking-Angriffs gewesen sein, welcher auf „VMware (VMW.N) ESXi-Server“ abgezielt habe – dies habe Italiens Nationale Agentur für Cybersicherheit (ACN) am 5. Februar 2023 mitgeteilt und Unternehmen gewarnt, um Maßnahmen zum Schutz ihrer Systeme zu ergreifen. Bei diesem Cyber-Angriff sei versucht worden, eine Software-Schwachstelle auszunutzen, habe Roberto Baldoni, „General Director“ bei der ACN, vermeldet und hinzugefügt, dass es sich um einen „massiven Angriff“ gehandelt habe.

Traurige Wahrheit: Bekannte Schwachstellen mit Exploit trotzdem von Unternehmen oft nicht gepatcht

Dieser erste Bericht habe sich mittlerweile bestätigt, denn weitere Regionen hätten ähnliche Warnungen ausgesprochen: Nach Angaben von „Politico“ seien Frankreich, Finnland und Italien die am stärksten betroffenen Länder in Europa, während die USA und Kanada ebenfalls eine hohe Zahl an Zielen aufwiesen.

„Die traurige Wahrheit ist, dass bekannte Schwachstellen, für die ein ,Exploit’ zur Verfügung steht, oft nicht gepatcht werden“, kommentiert Bernard Montel, „EMEA Technical Director and Security Strategist“ bei Tenable, und warnt: „Dies bringt Unternehmen in eine unglaubliche Gefahr, erfolgreich infiltriert zu werden.“ In diesem Fall, bei der zwei Jahre alten „VMware“-Schwachstelle, sei die Bedrohung angesichts der aktiven Ausnutzung „immens“.

Foto: Tenable

Bernard Montel: Unternehmen müssten sich beim Patchen entscheiden – ein paar Minuten Unannehmlichkeiten oder tagelange Unterbrechungen…

Virtualisierung Herzstück der Cloud-Strategie der meisten Unternehmen

Virtualisierung sei das Herzstück der „Cloud“-Strategie der meisten Unternehmen – „ob On-Premises, Public- oder Hybrid-Cloud, wobei der Hypervisor das Rückgrat der IT bildet“. Angreifer wüssten, dass sie auf diese Ebene zielen könnten, um ihre Privilegien zu erhöhen und Zugang zu allem zu erhalten. Montel führt aus: „Wenn sie in der Lage sind, sich Zugang zu verschaffen, können sie Malware einschleusen, um die Hypervisor-Ebene zu infiltrieren und eine Masseninfektion zu verursachen.“

Für viele Unternehmen stelle sich die Frage nach der Betriebszeit im Vergleich zur Frage, ob ein System zum Patchen offline genommen werden sollte. In diesem Fall könnte die Rechnung nicht einfacher sein – „ein paar Minuten Unannehmlichkeiten oder tagelange Unterbrechungen“.

Angreifer zielen auf Schwachstellen ab, um Administratorrechte zu missbrauchen und Unternehmens-Netzwerke zu durchdringen

Montel erläutert: „Wir wissen, dass Angreifer bekannte Schwachstellen, die beliebte Software betreffen, bevorzugen – einschließlich ,Open Source’, ,VMWare’, ,ManageEngine’, ,PrintNightmare’ und ,ProxyShell’. Die Angreifer zielen auf diese Schwachstellen ab, da sie wissen, dass sie Administratorrechte missbrauchen können, um das Netzwerk zu durchdringen und Schaden anzurichten oder sogar empfindliche Informationssysteme und Daten als Erpressung zu nutzen.“

Um die Kontinuität des Geschäftsbetriebs zu gewährleisten, müssten die Sicherheitsteams herausfinden, „wie sie ausgenutzte Schwachstellen beheben und gleichzeitig die Auswirkungen auf das Unternehmen minimieren können, anstatt bekannte Schwachstellen unbehandelt zu lassen“, so Montel abschließend.

Weitere Informationen zum Thema:

POLITICO, Elena Giordano, 05.02.2023
Ransomware hacking campaign targets Europe and North America, Italy warns / France, Finland and Italy are the most affected countries in Europe, while the US and Canada also have a high number of targets

heise online, Dirk Knop, 05.02.2023
Ransomware: Italiens Cyber-Sicherheitsbehörde warnt vor weltweiter Attacke / Die italienische Cyber-Sicherheitsbehörde ACN warnt vor einer aktuellen Ransomware-Attacke, die tausende Server weltweit betreffe

datensicherheit.de, 06.02.2023
Torsten George warnt: Angriffsfläche für Endgeräte wächst – die Schwachstellen bleiben / George erörtert, wie Unternehmen im Wettrennen um Mobile Security aufholen können