Sicherheitslücke bei Nominet wird auf VPN-Schwachstelle zurückgeführt
Nominet, der Betreiber der .UK-Domain-Registry und eine der größten Ländercode-Registries weltweit, hat kürzlich eine Sicherheitslücke bekannt gegeben, die auf eine Zero-Day-Schwachstelle in VPN-Software von Drittanbietern von Ivanti zurückzuführen ist. Der Verstoß ereignete sich vor zwei Wochen und ermöglichte es Angreifern, diese kritische Schwachstelle auszunutzen, um Zugriff auf das Netzwerk von Nominet zu erhalten. Obwohl keine Hinweise auf Datenlecks oder Backdoor-Installationen gefunden wurden, schränkte das Unternehmen schnell den VPN-Zugang ein und benachrichtigte die zuständigen Behörden, einschließlich des britischen National Cyber Security Centre (NCSC). Diese Zero-Day-Ausnutzung verdeutlicht die anhaltenden Risiken, denen Unternehmen ausgesetzt sind, die sich auf Remotezugriffstools verlassen. Nominet versicherte seinen Kunden, dass seine Domainregistrierungs- und -verwaltungssysteme sicher und funktionsfähig bleiben und durch robuste Zugriffskontrollen und Firewalls unterstützt werden. Ivanti hat seitdem Patches veröffentlicht, um diese Sicherheitslücke zu schließen, und fordert alle Benutzer auf, die aktualisierten Sicherheitshinweise zu befolgen, um ihre Systeme zu schützen.
Path of Exile 2 Admin-Account-Breach setzt Spieler Hacks aus
Die Entwickler von Path of Exile 2 (PoE 2) haben bestätigt, dass ein kompromittiertes Admin-Konto es Bedrohungsakteuren ermöglichte, das Backend des Spiels auszunutzen, was dazu führte, dass seit November mindestens 66 Spielerkonten gehackt wurden. Mit den kompromittierten Admin-Anmeldeinformationen umgingen die Angreifer die Zwei-Faktor-Authentifizierung, um Kontopasswörter zu ändern, was zum Diebstahl von Spielgegenständen wie göttlichen Kugeln und seltener Ausrüstung führte. Während Entwickler Untersuchungen durchführen, hat ihre Protokollaufbewahrungsrichtlinie die Möglichkeit eingeschränkt, den vollen Umfang der betroffenen Konten zu bestimmen. Diese Sicherheitsverletzung ging auf ein veraltetes Steam-Konto zurück, das mit einem Administratorprofil verknüpft war und über teilweise Kreditkartendaten ausgenutzt wurde, die dem Steam-Support zur Verfügung gestellt wurden. Die Entwickler räumten kritische Sicherheitslücken ein, wie z. B. falsch protokollierte Passwortänderungen, die die Hacks erleichterten. Als Reaktion darauf hat Grinding Gear Games strengere Sicherheitsmaßnahmen eingeführt, aber erklärt, dass es nicht möglich ist, gestohlene Gegenstände wiederherzustellen oder betroffene Spieler zu entschädigen.
Google OAuth-Schwachstelle nutzt verlassene Domains aus
Eine Schwachstelle in Googles OAuth-Funktion „Sign in with Google“ ermöglicht es Angreifern, nicht mehr existierende Start-Domains auszunutzen, um auf sensible Daten zuzugreifen, die mit ehemaligen Mitarbeiterkonten verknüpft sind. Die Forscher von Trufflesecurity identifizierten diese Schwachstelle und enthüllten, dass Angreifer E-Mail-Konten ehemaliger Mitarbeiter neu erstellen konnten, um verschiedene SaaS-Plattformen wie Slack, Notion und Zoom zu infiltrieren. Das Problem ergibt sich aus Inkonsistenzen in den eindeutigen Nutzerkennungen von Google (Sub-Ansprüche), die einige Dienste ignorieren und sich stattdessen auf E-Mail- oder Domain-Besitzansprüche verlassen, die Angreifer annehmen können. Obwohl der Fehler im Jahr 2024 gemeldet wurde, bleibt er ausnutzbar, da Google Best Practices für die Schließung von Domains empfiehlt. Dieses Problem betrifft Millionen von Konten, die mit gescheiterten Startups verknüpft sind, bei denen Domains zum Kauf verfügbar sind. Forscher schlagen Lösungen wie unveränderliche Benutzer- und Arbeitsbereichs-IDs vor, die jedoch die Komplexität und die Kosten erhöhen. Um Risiken zu minimieren, wird Benutzern empfohlen, das Verknüpfen persönlicher Konten mit Arbeitsdomänen zu vermeiden und Daten aus Konten zu entfernen, bevor sie eine Organisation verlassen.
Kritische Schwachstellen setzen Rsync-Server der Ausnutzung aus
Über 660.000 Rsync-Server sind anfällig für sechs neu entdeckte Schwachstellen, darunter ein kritischer Heap-Pufferüberlauf (CVE-2024-12084), der die Ausführung von Code aus der Ferne ermöglicht. Rsync, das häufig für die Dateisynchronisierung und inkrementelle Datenübertragung verwendet wird, ist ein wichtiges Werkzeug für Backup-Systeme und Servermanagement. Die Schwachstellen, die von Google Cloud und unabhängigen Forschern identifiziert wurden, ermöglichen es Angreifern, Server mit minimalem Zugriff auszunutzen. Ein Fehler in der Prüfsummenverarbeitung ermöglicht beispielsweise die Ausführung von beliebigem Code, selbst bei anonymem Zugriff. In Kombination mit Informationslecks und Path-Traversal-Schwachstellen führen diese Schwachstellen zu gefährlichen Exploit-Ketten, die potenziell sensible Daten offenlegen oder eine Privilegienausweitung ermöglichen. CERT/CC und Red Hat haben auf die Risiken hingewiesen und davor gewarnt, dass die Standardkonfiguration von Rsync oft anonyme Synchronisierung zulässt, was die Gefährdung erhöht. Anwendern wird dringend empfohlen, sofort auf Version 3.4.0 zu aktualisieren, da frühere Versionen keinen ausreichenden Schutz vor Remote-Codeausführung und anderen Bedrohungen bieten, die von diesen Schwachstellen ausgehen.
Datenpanne bei Wolf Haldenstein setzt Millionen von Menschen einem Risiko aus
Wolf Haldenstein Adler Freeman & Herz LLP hat eine Datenschutzverletzung bestätigt, bei der die personenbezogenen Daten von fast 3,5 Millionen Menschen kompromittiert wurden. Hacker griffen am 13. Dezember 2023 auf die Server des Unternehmens zu und legten sensible Daten offen, darunter Sozialversicherungsnummern, Mitarbeiter-IDs, medizinische Diagnosen und Schadeninformationen. Diese Sicherheitsverletzung erhöht das Risiko von Phishing, Betrug und gezielten Angriffen erheblich. Obwohl der Verstoß Ende 2023 entdeckt wurde, wurde die öffentliche Benachrichtigung aufgrund von Verzögerungen bei der forensischen Analyse auf Dezember 2024 verschoben. Darüber hinaus hatte das Unternehmen Schwierigkeiten, die Kontaktdaten vieler Betroffener zu finden, was die direkte Kontaktaufnahme weiter erschwert. Obwohl es keine Hinweise auf einen Missbrauch der gestohlenen Daten gibt, rät Wolf Haldenstein zur Wachsamkeit gegenüber verdächtigen Aktivitäten und bietet potenziell Betroffenen eine Kreditüberwachung an. Personen, die sich Sorgen um ihre Daten machen, werden dringend aufgefordert, sich an das Unternehmen zu wenden, Betrugswarnungen zu platzieren oder Sicherheitssperren zu veranlassen, um potenzielle Risiken zu mindern.
Star Blizzard nimmt Diplomaten per WhatsApp-Phishing ins Visier
Der russische Bedrohungsakteur Star Blizzard hat eine Spear-Phishing-Kampagne gestartet, um WhatsApp-Konten von hochrangigen Zielen zu kompromittieren, darunter Diplomaten, Verteidigungspolitiker und ukrainische Hilfsorganisationen. Einem Microsoft-Bericht zufolge markiert diese Kampagne eine Wende in der Taktik von Star Blizzard, nachdem ihre früheren Methoden aufgedeckt wurden. Der Angriff beginnt mit E-Mails, in denen sie sich als US-Beamte ausgeben und Zielpersonen einladen, einer WhatsApp-Gruppe beizutreten, die die Ukraine unterstützt. Die Opfer werden dazu verleitet, einen funktionierenden QR-Code anzufordern, nachdem sie einen absichtlich kaputten QR-Code erhalten haben. Die Angreifer stellen dann einen bösartigen QR-Code bereit, um ihr Gerät mit dem WhatsApp-Konto des Opfers zu verknüpfen und so den Zugriff auf Nachrichten und die Datenexfiltration zu ermöglichen. Diese Kampagne setzt auf Social Engineering ohne Malware und umgeht herkömmliche Antiviren-Abwehrmechanismen. Microsoft mahnt zur Wachsamkeit und empfiehlt Benutzern, verknüpfte Geräte in WhatsApp zu überprüfen und verdächtige Verbindungen abzumelden. Trotz der vorherigen Unterbrechung des Betriebs im Jahr 2024 passt sich Star Blizzard weiterhin an und nutzt neue Angriffsvektoren aus.
Fazit
Zusammenfassend lässt sich sagen, dass die sich ständig weiterentwickelnde Cyber-Bedrohungslandschaft die Bedeutung proaktiver Maßnahmen zur Minderung von Risiken unterstreicht, von Ransomware-Angriffen bis hin zu Schwachstellen in weit verbreiteten Systemen. Unternehmen müssen Sicherheitsstrategien priorisieren, um sensible Daten zu schützen und die Betriebskontinuität aufrechtzuerhalten. Als Spezialisten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir maßgeschneiderte Lösungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen.
