Nachrichtenwoche: 12. Januar bis 18. Januar 2025

Unbegrenzte Dateinamenbehandlung birgt das Risiko von Speicherbeschädigung

Eine neu identifizierte Schwachstelle verdeutlicht eine schwerwiegende Schwäche in der Art und Weise, wie das untgz-Dienstprogramm in zlib Benutzereingaben verarbeitet. In betroffenen Builds kann ein speziell entwickelter Befehlszeilenparameter einen globalen Pufferüberlauf auslösen, bevor überhaupt Archivinhalte verarbeitet werden. Das Problem entsteht durch das direkte Kopieren eines Archivnamens in einen Speicherpuffer fester Größe, ohne dessen Länge zu validieren, wodurch übergroße Eingaben benachbarte Speicherbereiche überschreiben können. Da dieser Vorgang unmittelbar beim Programmstart erfolgt, müssen Angreifer keine Parsing-Logik umgehen oder komplexe Payloads erstellen, um einen Fehler zu verursachen. Sicherheitstests haben gezeigt, dass übermäßig lange Dateinamen zuverlässig zu Speicherbeschädigung führen, was potenziell zu Abstürzen oder unvorhersehbarem Verhalten führt. Abhängig von den Kompilierungseinstellungen und der Systemarchitektur könnte dieser Fehler über Denial-of-Service-Szenarien hinausgehen und die Tür zu schwerwiegenderen Exploits öffnen. Die Verwendung von ungeprüften argv-Eingaben und unsicheren Zeichenkettenoperationen macht dieses zlib-Problem für betroffene Umgebungen besonders besorgniserregend.

Aktive Ausnutzung erhöht die Dringlichkeit für selbst gehostete Git-Server

US-Behörden warnen vor einer aktiv ausgenutzten hochgradigen Schwachstelle in der selbst gehosteten Git-Plattform Gogs, die nun offiziell im CISA-Katalog bekannter ausgenutzter Schwachstellen aufgeführt ist. Das Problem, das als CVE-2025-8110 verfolgt wird, betrifft die Art und Weise, wie die Anwendung symbolische Links über ihre PutContents-API verarbeitet. Durch den Missbrauch dieses Verhaltens können authentifizierte Benutzer über die Repository-Grenzen hinaus schreiben und sensible Dateien auf dem Host-System überschreiben. Bei realen Angriffen wurde diese Fähigkeit genutzt, um Git-Konfigurationsdateien so zu manipulieren, dass Remote Code Execution ermöglicht wird. Forscher beobachteten, dass die Schwachstelle als Zero-Day ausgenutzt wurde und sogar frühere Schutzmaßnahmen umging, die für ähnliche Schwächen hinzugefügt wurden. Eine großflächige Kompromittierung wurde bereits bestätigt, wobei weltweit Hunderte von exponierten Servern betroffen sind. Obwohl ein Fix in Entwicklung ist, wurde noch kein offizieller Patch veröffentlicht, wodurch ungeschützte Gogs-Instanzen weiterhin anfällig für die laufende Ausnutzung und die Bereitstellung bösartiger Payloads sind.

Innovative Infrastruktur hilft einer neuen Ransomware-Variante, sich zu verstecken

Cybersicherheitsforscher warnen vor einer unauffälligen, aber technisch fortschrittlichen Ransomware-Familie, die in realen Angriffen aufgetaucht ist. Die als DeadLock bekannte Malware zeichnet sich durch ihre ungewöhnliche Abhängigkeit von der Blockchain-Technologie aus, insbesondere durch den Missbrauch von Polygon-Smart-Contracts zur Speicherung und Rotation von Proxy-Server-Adressen. Diese Methode ermöglicht es DeadLock, traditionellen Takedown-Bemühungen zu entgehen und viele netzwerkbasierte Abwehrmaßnahmen zu umgehen. Es wurden bereits mehrere DeadLock-Varianten beobachtet, die es Angreifern ermöglichen, die Infrastruktur häufig zu wechseln, ohne auf herkömmliche Command-and-Control-Setups angewiesen zu sein. Im Gegensatz zu etablierten Ransomware-Operationen ist DeadLock nicht mit Partnerprogrammen verbunden und betreibt keine Datenleck-Site, was dazu beigetragen hat, dass sie weniger Aufmerksamkeit erregt hat. Die Analyse zeigt, dass DeadLock Wiederherstellungsoptionen entfernt, Dateien verschlüsselt und Opfer durch Systemmodifikationen unter Druck setzt. Obwohl die aktuellen Opferzahlen begrenzt erscheinen, warnen Forscher davor, dass die sich entwickelnden Techniken von DeadLock eine wachsende Bedrohung darstellen könnten, wenn sie ignoriert werden.

Banking-Malware-Kampagnen nutzen das Vertrauen in mobile Anwendungen aus

Eine kürzlich identifizierte Android-Bedrohung verdeutlicht, wie sich mobile Malware durch gemischte Angriffstechniken weiterentwickelt. Die als deVixor bekannte Malware wurde in gezielten Kampagnen beobachtet, die sich hauptsächlich an Benutzer im Iran richten, wo Angreifer bösartige APK-Dateien über Phishing-Websites verbreiten, die legitime Automobilunternehmen imitieren. Nach der Installation konzentriert sich deVixor stark auf das Sammeln sensibler Finanzdaten, indem es SMS-Nachrichten überwacht, wodurch es Einmalpasswörter, Anmeldeinformationen, Kontoinformationen und Bank- oder Kryptowährungsbenachrichtigungen abfangen kann. Neben dem Datendiebstahl enthält deVixor auch Ransomware-ähnliche Funktionen, die es Betreibern ermöglichen, infizierte Geräte aus der Ferne zu sperren und Zahlungsaufforderungen zu präsentieren. Die Opfer werden angewiesen, das Lösegeld in Tron-Kryptowährung zu zahlen, um wieder Zugriff zu erhalten. Die Kombination aus dem Abfangen von Anmeldeinformationen und der Gerätesperrung erhöht das Risiko für betroffene Benutzer erheblich und zeigt, wie deVixor traditionelles Banking-Malware-Verhalten mit Erpressungstechniken kombiniert, um den Druck und den potenziellen finanziellen Gewinn zu maximieren.

Großer Mischkonzern untersucht den Umfang des Cybervorfalls

Der südkoreanische Mischkonzern Kyowon Group hat bestätigt, dass ein Ransomware-Angriff seine internen Systeme gestört und zur Exfiltration von Daten geführt hat. Der Vorfall ereignete sich im Januar und führte zu weitverbreiteten Serviceausfällen, wobei Berichten zufolge ein großer Teil der Serverinfrastruktur des Unternehmens betroffen war. Kyowon gab an, dass ein externes Datenleck bestätigt wurde, aber die Untersuchungen laufen noch, um festzustellen, ob Kundeninformationen enthalten waren. Das Unternehmen hat die nationalen Cybersicherheitsbehörden benachrichtigt und arbeitet mit externen Sicherheitsexperten zusammen, um die vollen Auswirkungen zu bewerten. Die Wiederherstellung der Online-Dienste soll sich in den letzten Zügen befinden, während sich noch keine Ransomware-Gruppe öffentlich zu dem Angriff bekannt hat. Der Kyowon-Vorfall folgt auf eine Reihe von größeren Cybervorfällen, die südkoreanische Organisationen betreffen, und verstärkt die Bedenken hinsichtlich Ransomware-Aktivitäten, Betriebsunterbrechungen und der potenziellen Offenlegung sensibler persönlicher und Unternehmensdaten.

Versehentliche E-Mail führt zur weitverbreiteten Offenlegung von Partnerdaten

Der Cloud-Commerce-Distributor Pax8 hat einen internen Fehler eingeräumt, der zur unbeabsichtigten Offenlegung sensibler Geschäftsdaten im Zusammenhang mit rund 1.800 Managed Service Provider-Partnern geführt hat. Der Vorfall ereignete sich, als eine Tabelle versehentlich per E-Mail an eine begrenzte Anzahl von Empfängern mit Sitz in Großbritannien weitergegeben wurde. Obwohl keine personenbezogenen Daten betroffen waren, enthielten die offengelegten Daten umfangreiche kommerzielle und betriebliche Details wie Kunden- und Partnerkennungen, Microsoft-Lizenzinformationen, Produkt-SKUs, Mengen, Verlängerungszeitpläne und finanzielle Buchungsmetriken. Der Datensatz enthielt Berichten zufolge Zehntausende von Datensätzen, die einen detaillierten Einblick in Kundenumgebungen und Lizenzierungs-Footprints boten, die normalerweise eingeschränkt bleiben würden. Pax8 reagierte schnell, um die Nachricht zurückzurufen, die Bestätigung der Löschung anzufordern und direkte Follow-ups mit den Empfängern einzuleiten. Das Unternehmen leitete auch eine interne Überprüfung ein, um ähnliche Vorfälle zu verhindern, da die Besorgnis wächst, dass solche Datensätze für Competitive Intelligence oder gezielte Cyberkriminalität missbraucht werden könnten.

Fazit

Die versehentliche Offenlegung sensibler Partner- und Lizenzdaten verdeutlicht, wie selbst interne betriebliche Fehler ernsthafte Sicherheits- und Geschäftsrisiken verursachen können. Vorfälle wie dieser unterstreichen die Bedeutung starker Datenverarbeitungsprozesse, einer schnellen Reaktion auf Vorfälle und des Bewusstseins, wie durchgesickerte Informationen von Wettbewerbern oder Cyberkriminellen genutzt werden können.

Als Ransomware- und Cybersicherheitsexperten unterstützen wir Unternehmen vor, während und nach Sicherheitsvorfällen durch Dienstleistungen wie Ransomware Recovery Services, Ransomware Negotiation Services und einen Incident Response Retainer. Wenn Ihr Unternehmen nach einem Cybervorfall professionelle Unterstützung benötigt oder seine Vorbereitung stärken möchte, wenden Sie sich an unser Team, um zu besprechen, wie wir Ihnen helfen können.