heise security News

Samsung: Ausbleibende Google-Play-Dienstupdates sind Absicht

2025-12-26T12:00:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Seit einigen Wochen gibt es Verwunderung über ausbleibende Google-Play-Dienstupdates auf Samsung-Smartphones. Jetzt erklärt Samsung das.

(Bild: Bk87/Shutterstock.com)

26.12.2025, 13:00 Uhr

Lesezeit: 2 Min.

Von

Dirk Knop

Seit einiger Zeit brodelt es in der Gerüchteküche, weil Samsung-Smartphones offenbar keine Google-Play-Dienstupdates mehr erhalten. Spekulationen über die Gründe gibt es reichlich. heise online hat bei Samsung nachgefragt – und nun hat der Hersteller das beobachtete Phänomen erklärt.

Samsung sagte gegenüber heise online: „Bei der Einführung neuer Geräte oder größerer One UI-Updates spielt Samsung ausschließlich Software aus, die das Unternehmen verifiziert hat. Samsung hat die Verteilung von Google-Updates vorübergehend ausgesetzt, um mögliche Probleme zu vermeiden.“ Es sei derzeit geplant, „das Google-Update im Januar 2026 aufzunehmen.“

Es handelt sich demnach um eine bewusste Entscheidung und um einen kontrollierten Vorgang. Aus IT-Sicherheitssicht stellt das anscheinend kein Problem dar, andernfalls würde Samsung die Aktualisierungen von Google sicherlich verteilen. Das Unternehmen achtet bei den Galaxy-Smart-Devices sehr auf die Gerätesicherheit, da diese der Grund dafür ist, dass die Geräte auch im Business-Umfeld häufig eingesetzt werden.

Temporäre Aussetzung der Google-Play-Dienstupdates

Smartphones mit Android-Betriebssystem erhalten allgemein mehrere Aktualisierungen, bei Samsung die größeren Systemupdates etwa ein- bis zweimal im Jahr. Dazu die inzwischen nur noch quartalsweise bereitgestellten Sicherheitsaktualisierungen von Google für Android. Für die zeichnen die Gerätehersteller selbst verantwortlich. Unabhängig davon gibt es schließlich die Google-Play-Updates, die Google selbst eigentlich monatlich bereitstellt und verteilt.

Besitzer von Samsung-Smartphones haben zuletzt häufiger beobachtet, dass zum Beispiel das Android-Systemupdate auf ihrem Gerät angeboten wurde und damit der Sicherheitslevel auf dem aktuellen Stand 1. Dezember 2025 landet. Jedoch verharrt die Google-Play-Systemupdate-Fassung beispielsweise auf dem Stand 1. Juli 2025, 1. August 2025 oder 1. September 2025 und führt damit zu Irritationen.

Videos by heise

Gerüchte zu den Gründen sind mit der offiziellen Stellungnahme hinfällig. Samsung-Gerätebesitzer müssen sich offenbar keine Sorgen machen, da das Unternehmen dieses Verhalten bewusst hervorruft und dabei die (Sicherheits-)Lage im Blick hat.

(dmk)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

MongoDB: kritische Sicherheitslücke in NoSQL-Datenbank

2025-12-25T17:19:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

MongoDB warnt vor einer schwerwiegenden Sicherheitslücke, die neuere Versionen betrifft. Admins sollten umgehend patchen.

(Bild: Sashkin/Shutterstock.com)

25.12.2025, 18:19 Uhr

Lesezeit: 2 Min.

Security

Von

Kathrin Stoll

Das Sicherheitsteam der NoSQL-Datenbank-Software MongoDB hat am Freitag in eine schwerwiegende Sicherheitslücke dokumentiert: „Ein clientseitiger Exploit der zlib-Implementierung des Servers kann nicht initialisierten Heap-Speicher zurückgeben, ohne dass eine Authentifizierung am Server erforderlich ist. Wir empfehlen dringend, so schnell wie möglich auf eine korrigierte Version zu aktualisieren.“

Angreifer können einen Fehler in der Kompressionssoftware zlib ausnutzen, um auf nicht zurückgesetzten dynamischen Arbeitsspeicher (heap memory) zuzugreifen, wo möglicherweise noch alte Daten, etwa Passwörter, Schlüssel oder andere sensible Daten liegen. Die Zugangsdaten für die Datenbank bräuchte ein Angreifer dafür nicht. Eine Benutzerinteraktion ist dafür laut BleepingComputer nicht nötig.

Die Schwachstelle betrifft die folgenden MongoBB-Server-Versionen:

MongoDB 8.2.0 bis 8.2.3
MongoDB 8.0.0 bis 8.0.16
MongoDB 7.0.0 bis 7.0.26
MongoDB 6.0.0 bis 6.0.26
MongoDB 5.0.0 bis 5.0.31
MongoDB 4.4.0 bis 4.4.29

Sowie jeweils alle

MongoDB Server v4.2 Versionen
MongoDB Server v4.0 Versionen
MongoDB Server v3.6 Versionen

Diese sind jeweils auf MongoDB 8.2.3, 8.017, 7.0.28, 6.0.27, 5.0.32 oder 4.4.30 upzugraden.

Die unter CVE-2025-14847 veröffentlichte Sicherheitslücke gilt als kritisch und hat einen CVSS-Score von 8,7.
Wer nicht sofort auf eine der gepatchten Versionen upgraden kann, soll die zlib-Komprimierung auf dem MongoDB-Server deaktivieren. Das geht laut der MongoDB-Warnung, „indem man mongod oder mongos mit einer networkMessageCompressors - oder net.compression.compressors -Option startet, die zlib explizit ausschließt.“

Videos by heise

MongoDB wird weltweit von mehr als 62.000 Kunden genutzt. Das Datenbankmanagementsystem sichert Daten in BSON-Dokumenten (Binary JSON) statt wie klassische relationale SQL-Datenbanken wie MySQL oder PostgreSQL in Tabellen.

(kst)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Patches: Hitachi Infrastructure Analytics und Ops Center sind verwundbar

2025-12-23T10:56:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Zwei Sicherheitslücken bedrohen Hitachi Infrastructure Analytics und Ops Center. Angreifer können die Anmeldung umgehen.

(Bild: Tatiana Popova/Shutterstock.com)

11:56 Uhr

Lesezeit: 1 Min.

Security

Von

Dennis Schirrmacher

Schwachstellen in Hitachis Analyse- und IT-Managementsoftware Infrastructure Analytics und Ops Center unter Linux gefährden Systeme. Zumindest ein Sicherheitspatch steht zum Download bereit.

Patchstatus unklar

Die in einer Warnmeldung aufgelisteten Sicherheitslücken (CVE-2025-66444, CE-2025-66445) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Dabei kann im Zuge einer Cross-Site-Scripting-Attacke (XSS) Schadcode ausgeführt werden. Über die zweite Schwachstelle können Angreifer die Authentifizierung umgehen. Wie Angriffe in beiden Fällen ablaufen könnten, ist bislang nicht bekannt.

Videos by heise

In der Warnmeldung erwähnen die Entwickler nur die reparierte 11.0.5-00-Version von Ops Center Analyzer. Ob es auch für Infrastructure Analytics Advisor einen Patch gibt, ist derzeit nicht bekannt.

(des)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

"Darknet Diaries Deutsch": Hacker im Staatsdienst

2025-12-23T10:02:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Ein staatlicher Hacker erhält den Auftrag, in das Netzwerk einer ausländischen Regierung einzudringen. Doch dann verursacht die Spyware Probleme.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Podcasts immer laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

11:02 Uhr

Lesezeit: 40 Min.

Von

Isabel Grünewald

Dies ist das Transkript der achten und letzten Folge der ersten Staffel des Podcasts "Darknet Diaries auf Deutsch". Im Englischen Original von Jack Rhysider trägt diese Episode den Namen "Misadventures of a Nation State Actor". Die zweite Staffel des deutschen Podcasts startet im Februar.

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint alle zwei Wochen auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

JACK (Intro): Stellt euch James Bond vor. Bevor Bond auf eine Mission geht, erhält er von Q wichtige Ausrüstung. Bei einer Mission war das z.B.: ein Ring, der einen Ton mit einer ultrahohen Frequenz aussendet. Wenn man den Richtung Fenster hielt, ließ er das Glas zerspringen.

Auf dieser Mission jedenfalls schlich Bond sich unentdeckt nach Nordkorea. Was wäre, wenn er den Ring in Nordkorea verlieren würde? Wenn die nordkoreanische Regierung den Ring fände, würden sie ihn analysieren, die hochmoderne Technologie darin entdecken und diese dann möglicherweise für sich selbst reproduzieren können. Die Technologie würde also in die falschen Hände geraten. Bei der Analyse des Rings könnten sie vielleicht sogar seine Herkunft zum MI5 zurückverfolgen. Das würde bedeuten, dass Nordkorea allein durch den Fund des Rings schlussfolgern könnte, dass sich ein britischer Spion in ihrem Land befand. Das könnte zahlreiche Probleme verursachen, wer weiß, vielleicht sogar einen Krieg.

In der Welt des Internets, in der Regierungen andere Regierungen hacken, ist es ebenso entscheidend, dem Feind nicht zu zeigen, dass man da ist, und die eigenen Hacking-Techniken nicht preiszugeben. Denn wenn das passiert, könnte es ebenfalls verheerende Folgen haben.

Die Cyber-Kill-Chain

JACK: Ok, Leute, Achtung, diese Folge wird ernst. Ja, für mich lässt sie vorherige Folgen recht harmlos aussehen. Es macht mich sogar etwas nervös, die Geschichte zu erzählen. Ich mein ja nur, ich glaub nicht, dass ich auf irgendeiner Beobachtungsliste des FBI stehe, aber nach dieser Folge könnte sich das ändern.

Welches Hacking-Team ist wohl das raffinierteste der Welt? Vielleicht ein Team, das aus Absolventen des MIT und der Carnegie Mellon besteht, ein Team, das die fortschrittlichsten Hacking-Tools entwickelt hat, ein Team, das auf eine fast unbegrenzte Menge an Ressourcen zurückgreifen kann. Ressourcen wie Sprachübersetzer, riesige Rechenzentren und Supercomputer. Ein Team, das in der Vergangenheit Verschlüsselungsmethoden entwickelt und das Internet mit aufgebaut hat.

Ja, ich spreche von Hacking-Gruppen innerhalb von Regierungsbehörden, auch bekannt als Nationalstaatliche Akteure. Das meiste, was sie tun, gilt als streng geheim. Daher ist es ein ganz besonderes Privileg, einen von ihnen für diese Sendung zum Reden zu bringen. Nationalstaatliche Akteure sind eine außergewöhnliche Gruppe von Hackern, weil sie im Grunde eine Lizenz zum Hacken haben. Sie arbeiten ohne die Angst vor rechtlichen Konsequenzen. Sie werden oft damit beauftragt, Geheimnisse zu stehlen oder über Netzwerke gezielt für Störungen zu sorgen. Es ist dabei wichtig, dass alles, was sie tun, völlig unbemerkt und für das Ziel unsichtbar bleibt. Keine Fragen bitte dazu, wie ich das hier gefunden habe, und keine dazu, wen ich gefunden habe. Aber in dieser Folge werden wir eine Geschichte von einer Person hören, die in den innersten Kreisen eines der elitärsten Hacking-Teams der Welt war.

NSA:Ja, ich habe fast fünfzehn Jahre bei der US-Regierung gearbeitet und offensive Cyber-Operationen geleitet, also habe ich viele, viele Geschichten.

JACK: Die einzige Bedingung für ein Interview für diese Sendung war, dass ich ihre Identität geheim halte und ihre eigentliche Stimme nicht benutze. Was ihr also hört, ist eine Synchronstimme, die das Transkript des Gesprächs liest, das ich mit ihr geführt habe. Vielleicht fragt ihr euch, ob ihre Geschichte wirklich wahr ist oder nicht, und ich sage euch vorher, was ich genau weiß: Ich bin seit über zehn Jahren im Bereich der Informationssicherheit tätig und wurde einmal von meinem Arbeitgeber zu einem Threat-Intelligence-Training geschickt. Dort habe ich alle möglichen Taktiken, Techniken und Vorgehensweisen kennengelernt, die die raffiniertesten Hacker anwenden. Während ich also der Person dieser Folge zuhörte, wie sie ihre Geschichte erzählte, merkte ich, dass die verwendeten Taktiken, Techniken und Vorgehensweisen genau mit dem übereinstimmten, was ich in diesem Kurs gelernt habe. Ich kann also bestätigen, dass dieser Teil der Geschichte wahr ist - der Rest der Geschichte, ich kann's nicht wirklich wissen, entscheidet es für euch selbst, wenn ihr sie hört.

Noch ein paar zusätzliche Informationen: So gut wie alle Regierungen haben einen Geheimdienst. Die USA haben die CIA und die NSA und noch andere. Geheimdienste haben die Aufgabe, Informationen über Feinde und von ihnen ausgehende Bedrohungen für die eigene Nation zu beschaffen. Dies geschieht im Namen der nationalen Sicherheit. Regierungen spionieren sich also gegenseitig aus. Das ist natürlich nichts Neues, das geschieht seit Jahrhunderten. Früher arbeiteten Spione verdeckt und sie brachen physisch in Gebäude ein, um geheime Daten zu entwenden. Sie waren bestens darin geschult, unauffällig zu sein, zu entkommen und auszuweichen, und sie sind häudig - siehe James Bond ausgezeichnete Autofahrer.

Heute nutzen Regierungen Computer, um zu kommunizieren, um Daten zu speichern und um Pläne zu erstellen. Eine völlig neue Angriffsfläche. Anstatt physisch in ein Gebäude einzubrechen, um Dokumente zu stehlen, können das nun Hacker tun, von der anderen Seite der Welt. Sie tun das, um sich über einen bevorstehenden Angriff zu informieren, um Erkenntnisse über die Pläne des Militärs zu gewinnen oder um Pläne für eine streng geheime Waffe zu stehlen.

Regierungen hacken aktiv andere Regierungen. Das ist die neue Normalität. Deshalb müssen Regierungen ihre Cyber-Abwehr ernst nehmen, und sei es nur, um ihre Daten vor anderen Regierungen zu schützen. Aber was ist da wirklich los, wenn eine Regierung eine andere Regierung hackt? Tja, das ist die Geschichte, die wir gleich hören werden. Begleiten wir also unsere nationalstaatliche Akteurin, um zu erfahren, wie genau sie sich in eine andere Regierung hackt. Dürfte spannend werden, schnallt euch an und los geht's. Zuerst holen wir uns den Auftrag.

NSA: Vor ein paar Jahren hatten wir den Auftrag, ein Netzwerk anzugreifen, das zu einer ausländischen Regierungsbehörde gehörte. Unsere Aufgabe war es, Zugang zu erhalten und bestimmte Informationen zu sammeln. Nationalstaatliche Operationen laufen in der Regel so ab, dass die Cyber-Experten dieses Staates die Anforderungen nicht selbst festlegen. Sie bekommen sie von jemand anderem vorgegeben. Jemand in der Regierung oder in der Behörde sagt, wir glauben, dass diese Informationen in diesem Netzwerk existieren. Verschafft euch Zugang zum Netzwerk. Und das ist normalerweise auch schon der ganze Auftrag.

JACK: Der Auftrag enthält also nicht viele Informationen. Wir erhalten den Namen einer ausländischen Regierungsbehörde, einige IP-Adressen und eine recht allgemeine Vorstellung davon, welche Daten wir beschaffen sollen. Das ist bei weitem nicht genug, um mit dem Hacken des Netzwerks beginnen zu können. Wir wissen nicht, welche Tools wir verwenden sollen oder welche Computer wir ins Visier nehmen müssen, sobald wir drin sind. Wir brauchen mehr Informationen.

NSA: Das wirklich Wichtige bei solchen Nationalstaatlichen Aktionen ist – dass das Ziel nicht nur ist, Zugang zu bekommen und Informationen zu sammeln, sondern das übergeordnete Ziel ist immer, dass all das im Verborgenen bleiben muss.

JACK: Wir brauchen nicht nur mehr Informationen, wir müssen diese auch heimlich beschaffen. Es gibt viele Gründe, bei dieser Mission unentdeckt zu bleiben. Erstens…

NSA: Es könnte politische Konsequenzen geben.

JACK: Ein anderes Land könnte sehr wütend werden, wenn man uns beim Hacken erwischt. Ein weiterer Grund, nicht erwischt zu werden, sind unsere Tools, unsere Exploits und unsere Infrastruktur. Genauso wie James Bond es sich nicht leisten kann, seine streng geheimen Spionagetechnologien zu verlieren, verwendet auch ein staatlicher Akteur modernste Hacking-Techniken, von denen das Ziel nichts wissen soll. Diese Hacking-Techniken erfordern manchmal jahrelange Forschung und sind Millionen von Dollar wert. Es ist also unbedingt notwendig, dass wir während der gesamten Mission so unsichtbar wie möglich bleiben. Oh, und für diese Geschichte sprechen wir von einem zufälligen Land als Ziel.

NSA: Nehmen wir das peruanische Außenministerium.

JACK: Das tatsächliche Ziel bleibt anonym. Das Militär verwendet manchmal den Begriff „Kill Chain“, um zu beschreiben, wie ein Angriff abläuft.

NSA: Das Militär nennt das die Vorbereitung des Schlachtfelds, aber das Cyber-Äquivalent dazu ist…

JACK: Die Cyber-Kill-Chain. Diese beschreibt die verschiedenen Phasen eines Cyber-Angriffs. Was das bedeutet, werde ich erklären, während wir die Geschichte durchgehen. Es gibt jedenfalls sieben Phasen der Cyber-Kill-Chain, die durchgeführt werden müssen, um einen Angriff erfolgreich abzuschließen. Phase eins ist die Aufklärung. In dieser Phase müssen wir Informationen über das Ziel sammeln. Wie gesagt, wir haben keine Ahnung, welche Art von Exploit wir verwenden oder welche Systeme wir angreifen sollen. Wir beginnen mit dem Sammeln von Informationen.

NSA: Zunächst muss ich einen Weg hinein finden, also geht es jetzt um Dinge wie passive Aufklärung und Kartierung. Wir fangen an herauszufinden, was wir über dieses Netzwerk lernen können, ohne dass sie wissen, dass wir versuchen, etwas darüber zu lernen. Fragen wie: Wie groß ist das Netzwerk? Welche Art von Systemen gibt es darauf? Hardware, Software? Welche Art von Antivirensoftware ist dort im Einsatz? Was ist mein Zugangsvektor?

JACK: Das Team führt einen Scan des Zielnetzwerks durch, um zu sehen, was da alles mit dem Internet verbunden ist. Sie kartieren also, was für die Welt sichtbar ist.

NSA: Sie haben zunächst einmal eine Website. Sie hosten den Webserver in ihrer eigenen Umgebung. Das ist eine Box im Internet, auf der Apache Tomcat läuft. Okay, das ist gut zu wissen. Jetzt weiß ich, dass es sich wahrscheinlich um eine Linux-Box und einen Webserver handelt, der potenziell Schwachstellen hat, die ich ausnutzen kann. Das ist ziemlich interessant. Wir finden ein paar solcher Dinge heraus.

JACK: Normalerweise halten die meisten Regierungen und Organisationen ihre mit dem Internet verbundenen Geräte auf dem neuesten Stand. Das ist wichtig, denn ein veraltetes System hat viel mehr Sicherheitslücken als eines, das aktualisiert ist. In diesem Fall war der Webserver nicht vollständig aktualisiert, nicht gepatcht, was bedeutet, dass das Team eine bekannte Schwachstelle nutzen kann, um darauf zuzugreifen.

NSA: Wir beginnen, einige potenzielle Wege zu entwickeln.

JACK: Jetzt haben wir also einen potenziellen Eintrittspunkt in das Netzwerk der Regierung, aber wir wissen immer noch zu wenig. Wir wollen verstehen, was genau sich in ihrem Netzwerk befindet, und es wäre schön, wenn wir eine Art Karte hätten, die uns zeigt, wo wir hin müssen, sobald wir drin sind. Es wäre ebenfalls auch schön, wenn wir wüssten, wer die Leute sind, die in dem Büro arbeiten, um ein Gefühl für das Team zu bekommen, das das Netzwerk verteidigt. Es gibt ein paar Wege, um das herauszufinden.

NSA: IT- und InfoSec-Leute sind im Großen und Ganzen ziemlich freundlich, offen und oft etwas naiv. Nehmen wir das peruanische Außenministerium. Zwischen Facebook, LinkedIn und irgendeiner lokalen peruanischen Version von Facebook oder was auch immer es im Land gibt, kann ich wahrscheinlich zwischen fünfzig und hundert, bis hin zu hunderten von Leuten finden, die bei dieser Organisation arbeiten und Profile in diesen Netzwerken haben. Ich kann anfangen, vollständige Namen, E-Mail-Adressen und vielleicht sogar Berufsbezeichnungen von Leuten zu sammeln, die dort arbeiten. Mich interessiert die IT-Infrastruktur, die technische Infrastruktur, also suche ich nach ihren IT-Leuten und ihren Sicherheitsleuten. Ich wette, ich kann den Systemadministrator oder Datenbankadministrator oder irgendjemanden finden, der in dieser Organisation IT macht und im Internet bekannt gegeben hat, dass er existiert.

Also finde ich deren Namen und ihre E-Mail-Adresse und was sie für diese Organisation tun. Sobald ich all das zusammengetragen habe, fange ich an, nach Dingen zu suchen, die es mir ermöglichen, sie mit der Organisation und den Dingen, die sie benutzen, in Verbindung zu bringen. Die besten Orte dafür sind – klar – Google, aber speziell Reddit ist erstaunlich nützlich. Dann die technischen Foren, die zu Produkten gehören. Wenn ich zum Beispiel auf LinkedIn oder Facebook herausgefunden habe, dass Bob ein IT-Administrator im peruanischen Außenministerium ist, gibt mir das Bobs vollständigen Namen und seine E-Mail-Adresse. Ich kann dann Google verwenden, um seinen Namen und seine E-Mail-Adresse zu suchen. Ich finde Dinge wie Bobs Beiträge in diesem Sysadmin-Subreddit, in denen er Fragen stellt, warum sein Windows 2012 Server sich so verhält, oder er stellt Fragen wie: Ich betreibe eine Windows 2008 R2 Box. Das ist mein Domaincontroller. Muss ich wirklich updaten oder nicht? Ich will es eigentlich nicht, aber was denkt ihr, sollte ich das tun? Wenn ich solche Beiträge finde, kann ich sie mit Bob in Verbindung bringen. Ich kann Dinge bestätigen wie: Oh, Scheiße, die betreiben einen Domaincontroller auf einer Windows 2008 R2 Box. Das ist fantastisch. Wir finden solche Dinge in Antiviren- und Sicherheitsforen.

JACK: Da unser Ziel darin besteht, bestimmte Daten aus dem Netzwerk zu extrahieren, ist es wahrscheinlich, dass diese Daten irgendwo in einer Datenbank gespeichert sind. Das Team schaut sich die Leute an, die dort arbeiten, um den DBA, den Datenbankadministrator, zu finden.

NSA: Ich habe den DBA auf Facebook oder LinkedIn gefunden und er ist ein Senior DBA. Er hat angegeben, dass er ein Experte für Oracle 11g ist. Cool, also kann ich annehmen, dass sie wahrscheinlich Oracle, ungefähr Version 11g, in ihrem Netzwerk betreiben. Ich habe ein Team von Leuten – ich habe etwa fünfzehn Leute, die nichts anderes tun, als sechs bis acht Wochen lang acht Stunden am Tag das Internet zu durchforsten, um die Namen, E-Mail-Adressen und Telefonnummern der Leute zu sammeln, die für meine Zielorganisation arbeiten. Diese Zahl wird auf diejenigen reduziert, die dort in den für mich relevanten Rollen arbeiten. Und dann wird das Internet nach allem durchsucht, was sie öffentlich über irgendetwas Technisches preisgegeben haben. Das gibt uns kleine Hinweise darauf, was wir in der Umgebung erwarten können.

JACK: Bei der Durchsicht der bisher gesammelten Daten, entdecken wir eine wichtige Information.

NSA: Ich weiß, dass die Oracle-Datenbank, die sie in ihrer Umgebung haben, wahrscheinlich die Daten enthält, die ich sammeln soll.

JACK: Nachdem fünfzehn Leute zwei Monate lang Vollzeit gearbeitet und so viele Informationen wie möglich über das Ziel gesammelt haben, haben wir jetzt einen sehr detaillierten Bericht. Wir wissen, wer dort arbeitet, was ihre Rollen sind, und wir wissen, welche Art von Systemen sie betreiben, bis hin zur Version der Software auf diesen Systemen. Wir haben jetzt ein ziemlich gutes Bild von ihrer Umgebung. Großartig, Phase eins ist also abgeschlossen. Wir gehen über zur Phase zwei der Cyber-Kill-Chain über: Die Bewaffnung.

Die Wahl der Waffen

NSA: Ich kann jetzt zu meinen Vorgesetzten, meinem Management gehen, denjenigen, die über die Mittel verfügen, die ich jetzt verwenden möchte, und ich kann sie um Genehmigung für das bitten, was ich tun werde.

JACK: Die Mittel, das sind Hacking-Techniken, die verwendet werden, um auf ein Netzwerk zuzugreifen. Einige dieser Techniken sind öffentlich bekannt, und es ist einfacher, dafür eine Genehmigung zu erhalten, da ihre Beschaffung nichts kostet und es außerdem schwer ist, sie zu uns zurückzuverfolgen, sollte man bei der Verwendung des Exploits erwischt werden, da jeder auf der Welt Zugang zu diesem Exploit hat. Aber einige Exploits sind teuer und streng geheim. Für diese ist es schwieriger, eine Genehmigung zu bekommen, denn wenn man erwischt wird, könnte der Feind lernen, wie man den Exploit benutzt. Und wenn man bei der Verwendung eines Exploits erwischt wird, den niemand auf der Welt kennt, engt das den Kreis derer ein, die möglicherweise einen solchen Exploit haben könnten, was dazu führen könnte, dass der versuchte Einbruch zu uns zurückverfolgt wird.

NSA: Ich gehe zu den Vorgesetzten und sage, ich habe diesen Auftrag von diesen Leuten, dieses Netzwerk anzugreifen. Hier ist alles, was wir über das Netzwerk wissen. Das sind die Systemadministratoren, das sind die Sicherheitsleute, das sind die Namen, E-Mail-Adressen und Telefonnummern. Basierend auf den Datenpunkten a, b, c, d und e glauben wir, dass sie diese Art von Antivirus und diese Art von Hardware verwenden. Wir wissen, dass sie Webserver mit Tomcat betreiben. Wir wissen, basierend auf einigen anderen Forumsbeiträgen, dass sie Oracle-Datenbankinstanzen intern betreiben. Also fügen wir all das zusammen und aus diesen Datenpunkten leite ich die Werkzeuge und Exploits ab, die ich verwenden muss.

Wenn ich all das schon vorher weiß, kann ich die Genehmigung erhalten, Spyware X mit Exploit Y zu verwenden, die spezifisch für Oracle 11g sind. Sobald ich diesen Fall aufgebaut habe, kann ich die Genehmigung erhalten, und diese Genehmigung basiert auf dem Risiko für diese speziellen Tools, angesichts dessen, was ich über die Umgebung weiß. Wenn ich also weiß, dass sie wahrscheinlich dieses Antivirus und diese Sicherheitstools verwenden, kann ich sagen, dass ich diese Tools und jene Exploits habe und dass ich sie im Netzwerk einsetzen werde, die von deren Antivirus und dem Sicherheitssystem, das sie haben, nicht erkannt werden. Damit habe ich jetzt das größte Risiko, erwischt zu werden, gemindert. Nämlich, dass Antiviren- oder Sicherheitssysteme meine Tools oder meine Exploits markieren. Wenn ich das tun kann, dann kann ich die Genehmigungen erhalten, um fortzufahren und meine Operation tatsächlich durchzuführen. Sechzig Tage, neunzig Tage vergehen. Ich baue ein sogenanntes Targeting-Paket und erhalte die operative Genehmigung, diese Mittel zu nutzen, um diese Aufgabe zu erledigen.

JACK: Wir haben jetzt einen Eintrittspunkt, eine Karte des Inneren und wir wissen, wen wir dort erwarten können, wenn wir ankommen. Wir haben auch alle spezifischen Exploits, die wir benötigen. Dies markiert das Ende unserer Bewaffnungsphase. Phase drei der Cyber-Kill-Chain ist die Auslieferung. Wir müssen den Exploit tatsächlich an das System im Netzwerk senden. Hier beginnt die Mission, gefährlich zu werden. Von hier an könnte jeder Fehltritt schreckliche Konsequenzen haben, weil er bedeuten könnte, erwischt zu werden. Wenn wir James Bond wären, wären wir jetzt jedenfalls voll ausgerüstet und bereit für den Einsatz.

NSA: Wir haben also herausgefunden, dass es hier eine internetzugängliche Box gibt. Der Webserver, den sie benutzten, war nicht gepatcht, nicht aktualisiert, also konnte ich tatsächlich den bekannten Exploit verwenden, um den kompletten Zugang zu dieser Maschine zu erhalten. Sobald ich das getan hatte, habe ich eine Spyware auf dieser Maschine platziert, weil es ziemlich sicher war. Es war tatsächlich ein Linux-Server, und das Schöne an Linux ist, da gibt’s halt kein Antivirus. Ich mache mir also keine großen Sorgen. Besonders weil es ja nur ein Webserver ist, muss ich mir keine Sorgen machen, dass ein Benutzer den Bildschirm sieht oder ihn benutzt, und etwas Seltsames dabei bemerkt. Aber wie auch immer, ich komme also auf diese Box, warte dort eine Weile. Alles sieht ziemlich gut aus. Es gibt aber nicht viel zu sehen; es ist ein Webserver, der hat eine Website darauf und hat ein Datenbank-Backend dazu. Da ist nicht viel los.

JACK: Wir sind jetzt im Netzwerk der ausländischen Regierung. Wir haben es erfolgreich infiltriert. Es ist allerdings, als hätten wir uns ins Gebäude geschlichen, aber wir stehen nur im Flur rum bisher. Anhand der Daten, die wir in den letzten Monaten gesammelt haben, wissen wir, dass wir den Computer des Administrators finden müssen, um die Kontrolle zu erlangen. Das führt uns zur nächsten Phase der Cyber-Kill-Chain: der Exploitation, also der Ausnutzung einer Sicherheitslücke. Wenn wir auf den Computer des Admins kommen, stehen die Chancen gut, dass da die Schlüssel zum Königreich liegen. Indem wir seine Maschine benutzen, können wir auf alles zugreifen, was wir wollen.

NSA: Das Schöne daran, auf so einem Server zu landen, ist, dass sich Admins dort einloggen, um ihn zu verwalten. Dieser Admin wird sich einloggen und ich kann dabei wahrscheinlich seine Anmeldeinformationen abgreifen, oder dieser Admin wird eine authentifizierte Sitzung zwischen diesem Server, in diesem Fall dem Webserver, und der Maschine des Admins herstellen. Ich werde wahrscheinlich in der Lage sein, über diese authentifizierte Sitzung hinwegzugleiten und dann auf die Maschine des Admins überzuspringen. Es gibt eine Vielzahl von Möglichkeiten, wie man das tun kann, aber es genügt zu sagen, entweder erfasse ich seine Anmeldeinformationen, weil er sich zur Verwaltung einloggen wird, oder ich benutze einfach seine authentifizierte Sitzung, um mich seitwärts hinein zu bewegen. Das Schöne in diesem Fall war, dass wir den Admin kannten.

Wie gesagt, wir hatten einen Monat lang Open-Source-Recherche betrieben. Da wir wussten, dass wir den Webserver ausnutzen würden, wussten wir, wer ihr Website-Administrator war, wir kannten das Team von Leuten im Netzwerk, die für die Wartung der Website, der Datenbank dahinter und des gesamten Codes der Website verantwortlich waren. Wir kannten all diese Leute. Webentwickler sind wirklich die Schlimmsten. IT-Leute posten eine Menge Zeug im Internet. Sicherheitsleute posten etwas weniger, aber Entwickler und Web-Administratoren, die posten alles im Internet. Es ist lächerlich. Wir haben sie alle und all ihre Inhalte gefunden und kannten sie alle beim Namen. Wir hatten Bilder von allen Leuten, die mit der Website zu tun hatten, wir kannten sie alle.

In diesem Fall war es großartig, weil nachdem wir über den Exploit auf dem Server waren, wir ziemlich genau wussten, dass es einer von drei Leuten sein würde, der sich einloggen und ihn verwalten würde. Der Plan war, einfach abzuwarten, dass sich einer dieser drei Leute einloggt. Wir waren uns sicher wir wüsste, wie sie sich einloggen würden, denn, wie gesagt, wir waren mit den Systemen vertraut, die sie im Einsatz hatten. Anhand der Konfiguration auf dem Webserver konnten wir erkennen, wie sie sich erwartungsgemäß auf dieser Maschine einloggen würden. Es wurde für uns wirklich nur zu einem Geduldsspiel.

JACK: Manchmal kann das Warten auf das Einloggen eines Admins lange dauern; Tage, Wochen, Monate manchmal. Ein Trick aber, von dem ich gehört habe, dass Hacker ihn anwenden, ist, manchmal ein Problem auf dem Webserver zu verursachen, z.B. die CPU-Auslastung in die Höhe zu treiben oder eine Anwendung zum Absturz zu bringen. Na klar, wenn der Webserver problematisch agiert, wird sich ein Admin einloggen, um das Problem zu beheben. Und wenn er das tut, zack, ist er in die Falle getappt. Aber in unserem Fall mussten wir nicht lange warten.

Im fremden Netz

NSA: Einer der Admins loggt sich ein. Wir sehen den Vorgang. Wir bekommen die Informationen, die wir brauchen, springen rüber auf seine Maschine und platzieren die Spionagesoftware auf seinem Rechner.

JACK: Es ist die fünfte Phase der Cyber-Kill-Chain: die Installation. Wir haben gerade eine Spyware auf dem Zielsystem installiert. Das kann grundsätzlich ein Bug sein, ein Trojaner, ein Fernzugriffstool, das es uns ermöglicht, so ziemlich die Kontrolle über den Computer zu übernehmen. Für diejenigen unter euch, die mit Metasploit vertraut sind, wo offen zugänglich Exploits entwickelt und ausgeführt werden...

NSA: Stellt euch einfach so etwas wie Metasploit auf vielen, vielen Steroiden vor.

JACK: Die nächste Phase der Cyber-Kill-Chain ist Comand-and-Control, wo es darum geht, mit dem kompromittierten Gerät zu kommunizieren. Es ist ja nämlich nicht so, dass die Spyware, bloß weil sie auf der Maschine ist, da auch irgendwas veranstaltet. Jemand muss ihr sagen, was sie tun soll. In unserem Fall haben wir jetzt die Möglichkeit, remote auf den Computer des Netzwerkadministrators zuzugreifen. Das ist unser Comand-and-Control über den Zielcomputer. Wir sind jetzt sehr nah dran, unsere Mission abzuschließen. Alles, was noch zu tun ist, ist, die Kontrolle über den Computer des Admins zu übernehmen, dann auf die Datenbank zuzugreifen und dann die Daten zu nehmen, die wir brauchen. Wir warten eine Weile, bevor wir auf den Computer des Admins zugreifen, um nicht verdächtig auszusehen.

NSA: Wir haben ungefähr einen Tag abgewartet, vielleicht anderthalb Tage, um auf der Box aktiv zu werden, sie also tatsächlich interaktiv zu nutzen. Als wir dann damit anfingen, waren wir gleichzeitig eingeloggt, während die andere Person sie benutzte. Das funktioniert in der Regel immer so. Wir fingen an, Screenshots des Desktops anzusehen und sahen einen offenen Browser mit Dutzenden von offenen Tabs. Wir gingen viele der Screenshots durch und sahen uns den Inhalt der Tabs an. Diese Person googelte nach dem seltsamen Verhalten von Windows.

JACK: Der Computer des Admins, den wir infiltriert hatten, verhielt sich merkwürdig. Er zeigte viele Fehler an und bestimmte Programme stürzten ab. Es sah echt so aus, als hätte dieser Admin eine Art Virus auf seinem Rechner.

NSA: Als wir das zum ersten Mal sahen, dachten wir uns zunächst, nun, das ist seltsam. Ich frage mich, ob diese Probleme auf seinem Computer schon vor unserer Anwesenheit da waren. Wir wussten es nicht wirklich, hatten aber den leisen Verdacht, dass es etwas mit uns zu tun hatte. Ohne, dass wir es wussten, hatte er nämlich in der Zeit zwischen unserer anfänglichen Informationssammlung durch Open Source und dem Platzieren der Spyware sein Betriebssystem aktualisiert. Er hatte im Prinzip auf die nächste Windows-Version aufgerüstet. Normalerweise ist das Worst-Case-Szenario, dass deine Spyware nicht funktioniert, weil sie aus irgendeinem Grund nicht kompatibel ist, richtig? Sie ist nicht kompatibel und funktioniert nicht, und das ist Mist und man ist wirklich frustriert. Ich hätte es vorgezogen, wenn das hier auch der Fall gewesen wäre.

Stattdessen funktionierte die Spyware. Sie wurde heruntergeladen, dort installiert, wo sie sollte, und fing an, wie erwartet zu arbeiten. Das Problem war, dass sie nicht gut mit der neueren Windows-Version auf diesem Rechner zusammenspielte und unglücklicherweise sehr seltsames Windows-Verhalten verursachte. Dieses sehr seltsame Verhalten nahm die schlimmstmögliche Form an, nämlich Dinge, die für den Benutzer sehr sichtbar waren. Jetzt, da wir auf der Box sind und genau wissen, welche Windows-Version es war, haben wir sie in unserer eigenen Laborumgebung nachgebildet. Ich weiß also, welche Windows-Version es ist und ich kenne die Hardware. Ich habe im Grunde genau dieselbe Maschine in unserer Umgebung nachgebaut, unsere Spyware darauf geworfen und gesehen, dass unsere Software dieses seltsame Verhalten verursacht hat. Das waren wirklich, wirklich schlechte Nachrichten für uns, denn so wird man erwischt. Und das war beängstigend.

Wenn man an die politischen Konsequenzen denkt, dann gehen Meldungen über solche Dinge bis zu den höchsten Regierungsebenen, denn wenn man auf einem Netzwerk wie diesem erwischt wird, rufen sich die Premierminister gegenseitig an. Wenn die Dinge schlimm genug geworden wären, hätten wir die gesamte Leitung der Behörden und die gesamte oberste Führungsriege der Regierung informieren müssen. Alle waren zu diesem Zeitpunkt sehr besorgt, weil wir bereits auf dem Webserver waren. Wir hatten schon eine Menge Arbeit investiert. Und weil wir uns anfangs ziemlich sicher fühlten, setzten wir bereits sehr hochentwickelte, mächtige Spyware im Netzwerk ein. Das, was diese Probleme verursachte, war kein Stage-1-Loader. Das war eine relativ hochentwickelte – eigentlich ziemlich hochentwickelte, voll ausgestattete Spyware, die wir uns weder leisten konnten zu verlieren, noch konnten wir es uns leisten, im Netzwerk erwischt zu werden.

Als wir also merkten, was passierte – und es geht hier um die Regierung, also gehen alle Alarmglocken los. Man muss anfangen, vielen Leuten Bescheid zu sagen. Man muss anfangen, viele Memos zu schreiben und zu vielen Meetings zu gehen, um alle auf den neuesten Stand zu bringen, darüber was passiert, was die Risiken sind und was wir tun werden. Natürlich ist der erste Instinkt, alles zu löschen und die Spyware zu entfernen. Unglücklicherweise, weil es bereits so viele Stabilitätsprobleme verursachte, war unsere Sorge, dass wenn wir versuchen, es zu löschen, alles noch schlimmer werden könnte. Wir wussten es nicht, also bestand die riskante Option darin, nichts zu tun. Denn im Moment dachte der Admin nur, dass er technische Probleme hatte, nicht dass es ein Sicherheitsproblem gab, also dachten wir, okay.

Das Risiko besteht darin entweder, bei dem zu bleiben, was wir haben, und die technischen Probleme auszusitzen und zu hoffen, dass er nicht herausfindet, dass es eigentlich kein technisches Problem, sondern ein Sicherheitsproblem ist, oder wir versuchen, es zu löschen und dabei etwas anderes Seltsames zu verursachen, das es noch schlimmer macht. Dann sind wir total aufgeschmissen. Wir entschieden uns, alles so zu lassen und nichts zu löschen und diese Wette einzugehen.

Kontrollverlust

NSA: Eine Woche lang wurde es immer schlimmer, denn wir sahen nicht nur, wie er nach Lösungen für das Problem googelte, also die Symptome, die er in Windows sah, wir lasen auch seine E-Mails und lasen seine Chats mit IT-Leuten, in denen er ihnen erzählte, was los war, und Trouble-Tickets erstellte. Wir sahen den Chat mit diesem einen IT-Typen, da stand sowas wie „Hey, kannst du um 14:00 Uhr an meinen Schreibtisch kommen und einen Blick darauf werfen?“. Und alle wurden zu diesem Zeitpunkt sehr nervös, noch mehr als wir es ohnehin schon waren.

JACK: Die Dinge laufen also nicht wirklich gut. Die Stimmung im Büro ist auch sehr angespannt. Die verwendete Spyware war teuer und geheim. Wenn sie entdeckt würde, könnte es dazu führen, dass die Angreifer aufgespürt werden und wir zudem diese echt teure und geheime Spyware verlieren. Aber bis jetzt haben wir sechs der sieben Phasen der Cyber-Kill-Chain erfolgreich abgeschlossen. Es bleibt ja nur noch eine Phase übrig, nämlich die Durchführung der Aktion am Zielort. In unserem Fall wollen wir den Computer des Admins nutzen, um die Daten aus der Oracle-Datenbank zu extrahieren, aber das Team zögert, die Aufgabe zu Ende zu bringen.

NSA: Das Problem war, dass es sich um ein großes Netzwerk gehandelt hat und wir die Datenbank kannten, die wir wollten. Wir wussten, dass es eine Datenbank eines bestimmten Typs gab, zu der wir Zugang haben wollten, aber wir wussten nicht genau, wo sie im Netzwerk war. Zu diesem Zeitpunkt haben wir ein hohes Risiko, erwischt zu werden. Wir haben sie immerhin beim Troubleshooting beobachtet und wenn sie troubleshooten und troubleshooten und troubleshooten und dann irgendwann herausfinden, dass hier etwas wirklich nicht stimmt und dann die Sicherheitsleute rufen und genauer hinschauen müssen, dann wäre das Letzte, was wir wollen würden, eine breitere Präsenz im Netzwerk zu haben. Selbst wenn es auf anderen Maschinen anderswo im Netzwerk anfängt – in dem Moment, in dem die Incident Response involviert ist und anfängt, Dinge zu sperren, sind wir geliefert.

An diesem Punkt wollen wir unsere Präsenz auf das geringstmögliche Maß an Exposition minimieren, ohne unseren Zugang zu verlieren. Vorerst bezog sich diese Minimierung auf diesen einen Computer, auf dem wir sind und der das Problem hat, und auf den Webserver. Das war's. Die sehr, sehr klare, ohne jede Debatte getroffene Entscheidung war: abwarten, Füße still halten. Nichts tun. Lass es laufen, denn niemand wollte das Risikoprofil erhöhen, bis wir wussten, wie das ausgehen würde.

JACK: Das Team wartet und beobachtet. Tage vergehen. Administratoren versuchen, die Fehler zu beheben, die sie sehen. Eine Woche vergeht. Sie machen weiter mit der Fehlersuche, und in der zweiten Woche wird die IT um Hilfe gebeten.

NSA: Ja, also in der zweiten Woche kommen die IT-Leute und schauen sich den Computer an, und wir wissen, dass sie zum Schreibtisch der Person kommen, weil wir sehen, wie sie Termine vereinbaren. Wir erreichten diesen Punkt, an dem wir an der Art des Trouble-Tickets erkennen konnten, dass sie in einer Sackgasse gelandet waren. Sie konnten nicht herausfinden, warum. Sie konnten sich nicht erklären, was da passierte. Sie konnten den Grund für das, was passierte, nicht finden. Sie konnten die Ursache nicht lokalisieren und es schien ihnen nicht vorhersagbar. Wir wissen, warum es passiert. Ich weiß, was die Spyware tut und warum sie Windows dazu bringt, sich so zu verhalten, aber da sie nicht wissen, dass die Software da ist, ist das Verhalten für sie absolut nicht vorhersagbar. Weil es nicht vorhersagbar ist, können sie keine technische Lösung dafür entwickeln.

Schlussendlich kamen sie zu der Lösung, den Rechner einfach plattzumachen und neu aufzusetzen. Wir hatten zwar eine schicke Spyware, aber die war nur auf Benutzerebene und es ging um die Festplatte, also in dem Moment, als sie die Festplatte löschten und neu bespielten, waren wir fein raus. Sie entfernten unsere Software und alles war gut. Das war eine erhebliche Erleichterung. Gott sei Dank ist es vorbei, aber heilige Scheiße, werden wir jetzt alle gefeuert? Das fragt sich wohl jede und jeder nach solchen Ereignissen bei der Arbeit, bei denen die Dinge furchtbar schiefgelaufen sind. Man ist im Grunde für die Gruppe verantwortlich, bei der alles schiefgelaufen ist. Es lag alles an mir. Es gab diesen Moment, in dem ich dachte, na ja, ich hole mir wohl einen Karton und packe meinen Schreibtisch zusammen. Aber a) wir sprechen von der Regierung, also wird niemand gefeuert, und b) war das nicht das letzte Wort. Es gab eine Nachbesprechung, die wir durchführten, um zu sehen, was passiert war, wie es passiert war, warum es passiert war und wie man sowas verhindern kann.

Im Nachhinein stellten wir fest, dass keine Fahrlässigkeit im Spiel war. Niemand hat etwas falsch gemacht. Das ist einfach passiert. Die Wahrscheinlichkeit, dass wir zwei Monate lang recherchieren, dreißig Tage brauchen, um Entscheidungen zu treffen und Meetings abzuhalten, und dann die Operation nach diesen dreißig Tagen ausführen, und einer der Admins in der Zeit Windows aktualisiert hat - das ist keine super hohe Wahrscheinlichkeit, dass das passiert, und wir hatten einfach Pech. Unglücklicherweise standen wir einfach unter einem schlechten Stern und es ist passiert. Wenn es sechs Monate gewesen wären und wir nicht versucht hätten, unsere Informationen zu aktualisieren und sie zu bestätigen, wäre das Ergebnis wahrscheinlich gewesen, na ja, ihr habt zu lange gewartet. Richtig, das hättet ihr wissen müssen. In sechs Monaten kann sich viel ändern. Aber dreißig Tage waren angemessen, denn wie gesagt, es ist die Regierung. Es dauert dreißig Tage, um den Papierkram zu erledigen, Meetings anzusetzen und einfach die administrativen Dinge zu tun, die man tun muss.

Die Tatsache, dass das innerhalb von dreißig Tagen passiert ist, dass dieser Typ die Windows-Box aktualisiert hat; das wurde als akzeptabel angesehen. Der einzige andere Knackpunkt war, als wir in diese Maschine eingedrungen sind, hätten wir da taktisch etwas tun sollen, bevor wir die Spyware auf diese Box luden? Darüber gab es eine Debatte. Hätten wir die Anmeldeinformationen erfassen und einfach interaktiv mit dieser Maschine agieren sollen, nur um Dinge wie ihr Betriebssystem und Antivirus und all das zu erfassen? Das war eine operative Entscheidung, die wir zu dem Zeitpunkt trafen, eine rein taktische Entscheidung. Aber weil wir die Open-Source-Recherche gemacht hatten und wussten, was da war, schien es weniger Gründe dafür zu geben. Das war's.

Mission gescheitert, alles in Ordnung

JACK: Nachdem die Spyware von der Maschine entfernt wurde, kann sich das Team entspannen, da es weiß, dass die Tarnung nicht auffliegen und der teure Exploit nicht entdeckt wird. Aber was ist mit der Datenbank, dem ursprünglichen Ziel?

NSA: Wir haben am Ende nie Zugang zur Datenbank bekommen. Nicht deswegen, es stellte sich einfach heraus, dass das Netzwerk so konfiguriert war, dass unser Weg dorthin extrem kompliziert war, von dort, wo wir ins Netzwerk eingestiegen sind, bis dorthin, wo wir hin mussten. Wie in jeder anderen Geschäftsumgebung hatten wir konkurrierende Anforderungen. Irgendwann, wahrscheinlich anderthalb Monate nach diesem Vorfall, nach diesem kleinen Vorfall, kamen wir an den Punkt, wo wir dachten, okay, ich weiß, wo der Oracle-Server ist. Ich weiß, wer die Admins sind, aber unsere Fähigkeit, dorthin zu gelangen, ist kompliziert. Es wird eine Weile dauern. Wir könnten dahin gelangen, aber wollen wir das wirklich so machen?

Gleichzeitig hatte ich drei andere Aufträge, die ich erfüllen musste. Diese Aufträge erforderten einige der gleichen Leute, die ich gerade für diese eine Aufgabe einsetzte, also war die Frage, was machen wir? Ziehen wir einfach die Reißleine und gehen, oder gehen wir aufs Ganze und versuchen es? Wir entschieden uns, die Reißleine zu ziehen und zu gehen. Sowas passiert ständig. Ich denke, jeder Hacker, egal ob man ein nationalstaatlicher Akteur oder ein Kind in Mamas Keller ist, weiß, dass es eine Menge Glück erfordert, dass diese Dinge funktionieren. Da fließen nur in begrenztem Umfang Planung und Intelligenz mit ein.

Am Ende gehört dazu eine Menge Glück, und ich würde sagen, statistisch gesehen ist uns das Glück in all den Jahren, in denen ich das mache, mehr als die Hälfte der Zeit einfach nicht gewogen oder es geht uns aus, weil es schwer ist und immer schwerer wird, weil die Leute im Allgemeinen bewusster im Umgang mit Cybersicherheit und Informationssicherheit sind. Sie sind etwas klüger, gerade klug genug, um vielleicht nicht auf einen Link zu klicken oder vielleicht nicht diese Website von der Arbeit aus zu besuchen, oder von ihrem Arbeitscomputer aus, und vielleicht nicht auf OK zu klicken, wenn es heißt, Flash muss aktualisiert werden. Es gibt gerade genug Leute, die das kleine Bisschen klüger sind, sodass dies mit jedem einzelnen Tag so viel schwerer wird.

(igr)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Jetzt patchen! In Deutschland sind noch 11.000 WatchGuard-Firewalls angreifbar

2025-12-23T08:35:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Sicherheitsforscher warnen, dass weltweit noch mehr als 117.000 WatchGuard-Firewalls der Firebox-Serie ohne Sicherheitsupdate sind.

(Bild: Gorodenkoff/Shutterstock.com)

09:35 Uhr

Lesezeit: 2 Min.

Security

Von

Dennis Schirrmacher

Derzeit attackieren Angreifer WatchGuard Firebox und kompromittieren Geräte. Sicherheitspatches sind verfügbar, aber offensichtlich bislang nicht flächendeckend installiert. Admins sollten umgehend handeln, damit Angreifer nicht in Netzwerke von Unternehmen einsteigen können.

Gefährliche Schwachstelle

Sicherheitsforscher von Shadowserver zeigen in einer Grafik vom vergangenen Sonntag, dass weltweit noch mehr als 117.000 Instanzen verwundbar sind. Die „kritische“ Sicherheitslücke (CVE-2025-14733) steckt im Fireware OS und betrifft Firebox-Firewalls. Diese sind verwundbar, wenn Mobile User VPN mit IKEv2 und Branch Office VPN mit IKEv2 mit einem dynamischen Gateway-Peer konfiguriert ist. Die Schwachstelle ist seit wenigen Tagen bekannt.

Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Dann führen Angreifer Schadcode aus und übernehmen die Kontrolle. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. Mit mehr als 57.000 bislang noch ungepatchter Instanzen befindet sich der Großteil in Europa. Einer Grafik von Shadowserver zufolge sind das in Deutschland mehr als 11.000 Firewalls.

Um Geräte abzusichern, müssen Admins Fireware OS 12.3.1_Update4 (B728352), 12.5.15, 12.11.6 oder 2025.1.4 installieren. Ist das nicht umgehend möglich, müssen Admins ihre Netzwerke temporär über einen Workaround schützen. Wie das geht, führt WatchGuard in einem Beitrag aus.

Videos by heise

In einer Warnmeldung führt der Hersteller verschiedene Parameter wie IP-Adressen und bestimmte Logeinträge auf, an denen Admins bereits attackierte Firewalls erkennen können. In diesem Beitrag gibt es auch weiterführende Informationen zur Lücke und betroffenen Modellen.

(des)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Karvi Solutions: Kundendaten von Hunderten Restaurants weiterhin ungeschützt

2025-12-22T14:46:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Eine auf Github veröffentlichte Sicherheitsanalyse zeigt schwerwiegende Mängel bei Karvi Solutions. Davon sind zehntausende Restaurant-Kunden betroffen.

(Bild: Aleksandra Suzi / Shutterstock.com)

22.12.2025, 15:46 Uhr

Lesezeit: 4 Min.

Security

Von

Marie-Claire Koch

Hunderte Restaurant-Websites der Firma Karvi Solutions weisen weiterhin zahlreiche Sicherheitslücken auf. Dadurch werden Daten von zehntausenden Kunden öffentlich zugänglich – von Anfang 2024 bis heute. Betroffen sind vollständige Namen, Adressen, E-Mail-Adressen, Handynummern und Bestelldetails, wie „!!!!!! Ohne Jalapenos !!!!!!!!!“. Trotz mehrfacher Hinweise scheint das Unternehmen die Lücken nicht angemessen zu beheben.

Über eine ungesicherte API lassen sich nach wie vor SMS verschicken.

(Bild: heise medien)

Die Analyse des Quellcodes „Karvi-geddon: How a Restaurant Ordering Platform Became a Security Catastrophe“ zeigt grobe Mängel in der Sicherheitsarchitektur. Am 15. Dezember 2025 ist wohl eine SMS an Betroffene verschickt worden zu sein, mit dem Hinweis auf ein Git-Repository, das eine Analyse der Schwachstellen enthält: „Es gibt ein Datenleck bei Karvi Solutions. Erneut. Mehr Details auf GitHub“. Noch immer lassen sich SMS über eine ungesicherte API an Kunden verschicken. Auch aktive API-Schlüssel für die von Karvi eingesetzten Cloud-Plattformen Twilio und AWS sind weiterhin zugänglich.

Experten bezeichnen die Sicherheitsarchitektur als fahrlässig abgesichert. Das System speicherte laut Codeanalyse zudem möglicherweise vollständige Kreditkartennummern, Ablaufdaten und die dreistelligen Prüfnummern (CVV), wobei letzteres gegen die Sicherheitsstandards der Kreditkartenindustrie (PCI DSS) verstößt.

„Was wir hier festgestellt haben, geht über Inkompetenz hinaus. Die völlige Weigerung, auf Sicherheitsmeldungen zu reagieren, in Verbindung mit der dokumentierten Historie von Sicherheitsmängeln lässt auf ein Unternehmen schließen, das sich einfach nicht um die Sicherheit oder den Schutz der Daten seiner Kunden kümmert.“

(Bild: Github)

SQL-Injection und offene Tore für Angreifer

Die Software enthält Schwachstellen, die SQL-Injection erlauben. Nutzereingaben werden so ungefiltert in Datenbankabfragen eingefügt. So können Angreifer die Datenbank vollständig auslesen oder manipulieren. Ferner ermöglicht eine fehlerhafte Funktion zur Sprachdateiverwaltung eine vollständige Übernahme des Servers: Angreifer laden ohne Anmeldung beliebigen PHP-Code hoch und führen ihn aus.

Untersuchungen zeigen, dass eine Website Bestellbestätigungen als ungeschützte Textdateien auf dem Server speichert. Die Dateinamen sind leicht zu erraten. Dadurch lassen sich Bestelldetails wie Name, Adresse, Telefonnummer und Zahlungsinformationen einfach abrufen. Zwischenzeitlich war auch der komplette Quellcode als zip-Archiv öffentlich erreichbar.

Videos by heise

Datenschutzbehörde bereitet rechtliche Schritte vor

Wegen der anhaltenden Sicherheitsmängel bereitet der Hamburgische Datenschutzbeauftragte, Thomas Fuchs, rechtliche Schritte vor. Eine Sprecherin erklärte: „Wir befinden uns mit Karvi Solutions in einem bereits länger laufenden Prozess, in dem es darum geht, Sicherheitslücken zu schließen, und der auch zu gewissen Verbesserungen geführt hat. Trotzdem stellen wir weiterhin Schwachstellen fest, die einen Zugriff auf personenbezogene Daten von Kund:innen ermöglichen. Wir bereiten daher jetzt rechtliche Schritte gegen das Unternehmen vor, um die erforderlichen Maßnahmen durchzusetzen.“

Sicherheitslücken seit fast einem Jahr

Bereits Anfang 2025 machte der Chaos Computer Club auf gravierende Sicherheitslücken aufmerksam. Sie betrafen über 500 Restaurants, die Software von Karvi Solutions einsetzten. Schon zu diesem Zeitpunkt reichten die Probleme von ungeschützten Backends über SQL-Injection bis zu frei zugänglichen Backups mit Quellcode und Kundendaten. Geschäftsführer Vitali Pelz erklärte damals, alle Lücken seien geschlossen.

Karvi Solutions weist Vorwürfe zurück

Karvi Solutions weist die Vorwürfe zurück. Das Unternehmen spricht, wie schon im Sommer, von einer gezielten Kampagne zur Rufschädigung. Nach eigener Darstellung wurden die Daten über Schwachstellen bei Drittanbietern oder über Restaurant-APIs abgegriffen. Die Kernsysteme seien laut Karvi Solutions nie kompromittiert worden.

Auch die Speicherung von Kreditkartendaten bestreitet die Firma. Zahlungen würden ausschließlich über Pop-ups von Zahlungsdienstleistern erfolgen. Die gefundene SQL-Injection-Lücke sei ein Einzelfall auf einer alten Kundenwebsite. Die GitHub-Analyse bezeichnet das Unternehmen als „übertrieben“ und „manipuliert“. Man habe sämtliche Websites überprüft. Nach eigenen Angaben bestehen seit Mitte des Jahres keine Sicherheitslücken mehr. Diese Darstellung widerspricht jedoch sowohl unseren technischen Analysen als auch den Aussagen der Datenschutzbehörde.

(mack)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Festplattenfunde im Heizungskeller: Gemeinde erklärt sich

2025-12-22T12:18:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Wir berichteten über ungesichert gelagerte Datenträger einer Gemeinde. Der Bürgermeister räumt nun ein, dass er einen Abfluss der Daten nicht ausschließen kann.

168

(Bild: Paul Müller (Name geändert))

22.12.2025, 13:18 Uhr

Lesezeit: 3 Min.

Von

Holger Bleich

Mitte Dezember hatte heise online über einen Datenschutzvorfall in der bayerischen Gemeinde Markt Kipfenberg berichtet. Zweimal binnen zwei Jahren waren dort kommunale Datenträger mit mutmaßlich sensiblen Einwohnerdaten in offen zugänglichen Kellerräumen eines Wohnhauses aufgetaucht. Ein Anwohner hatte die Ereignisse dokumentiert und uns davon berichtet.

Nachdem wir deshalb Ende November bei der Gemeinde angefragt hatten, kamen offenbar einige Dinge ins Rollen. Am 11. Dezember besuchten Mitarbeiter des bayerischen Landesdatenschutzbeauftragen zusammen mit dem Bürgermeister den Ort. Die Aufsichtsbehörde hatte uns bereits zuvor bestätigt, eine Vor-Ort-Prüfung durchführen zu wollen.

„Fälschlicherweise gelagert“

Am 17. Dezember, also einen Tag, nachdem der Artikel auf heise online erschienen war, äußerte sich Christian Wagner, Bürgermeister von Markt Kipfenberg, auf der Homepage der Gemeinde zu den Vorfällen: "Aufgrund des Rathausumbaus" seien "im Jahr 2023 Kartons mit Datenträgern fälschlicherweise im Heizraum eines Mietshauses der Gemeinde gelagert" worden, erläutert er. Auch danach sei versäumt worden, "die Datenträger zu entsorgen und so kam es im Herbst dieses Jahres erneut dazu, dass die Datenträger von einem Mitarbeiter in den Heizraum gestellt wurden, da in dem Raum, in dem die Datenträger versperrt gelagert wurden, von einem Techniker Arbeiten ausgeführt werden mussten".

Videos by heise

Der folgende Satz ist etwas missverständlich geraten, soll aber mutmaßlich bedeuten, dass die Gemeinde einen Abfluss der Daten in Richtung Unbefugte nicht ausschließen kann: "Dadurch, dass der Heizraum teilweise nicht abgesperrt wurde, kann nicht zu 100 Prozent gewährleistet werden, dass Daten in die Hände Dritter gelangt sind. Leider befanden sich auf den Datenträgern auch personenbezogene Daten der Bürgerinnen und Bürger von Kipfenberg."

Meldung DSGVO-konform?

Diese Ausführungen lassen vermuten, dass ein "voraussichtlich [...] hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen" gemäß Art. 34 DSGVO besteht. Daraus würden Informationspflichten der Gemeinde gegenüber den Bürgern folgen. Die Meldung auf der Homepage würde da eher nicht genügen, denn laut Art. 34 Abs. 2 DSGVO müsste die Gemeinde als Verantwortlicher "den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen" nennen, sowie "eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten" (Art. 33 DSGVO, Abs. 3b und 3c) liefern. Beides fehlt in der Meldung an die Einwohner.

Bereits Ende November hatten wir einige Fragen an die Gemeinde zu den Vorfällen geschickt. Silvia Obermeier, Geschäftsleiterin der Gemeinde Markt Kipfenberg, hatte uns erklärt, man wolle erst Stellung beziehen, wenn die Sachlage mit dem Landesdatenschutzbeauftragten geklärt sei. Am 18. Dezember, also nach dem Vor-Ort-Termin im Heizungskeller, haben wir sie daran erinnert, bis heute aber keine Antwort erhalten.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Preisvergleiche immer laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(hob)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Sicherheitspatches: DoS-Attacken auf IBM App Connect Enterprise möglich

2025-12-22T11:54:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

IBMs Integrationssoftwareangebot App Connect Enterprise ist verwundbar. In aktuellen Versionen haben die Entwickler eine Sicherheitslücke geschlossen.

(Bild: Alfa Photo/Shutterstock.com)

22.12.2025, 12:54 Uhr

Lesezeit: 1 Min.

Security

Von

Dennis Schirrmacher

Nutzen Angreifer eine Schwachstelle in IBM App Connect Enterprise erfolgreich aus, können sie Instanzen abstürzen lassen. Dagegen gerüstete Versionen schaffen Abhilfe.

PCs jetzt schützen

Videos by heise

Wie aus einer Warnmeldung hervorgeht, sind Systeme aufgrund von unzureichender Filterung von bestimmten Eingaben angreifbar. Demzufolge könnten Angreifer mit bestimmten Eingaben an der Schwachstelle (CVE-2025-12758 „hoch“) ansetzen. Das führt zu Speicherfehlern, was in der Regel in Abstürzen endet (DoS-Zustand). Bislang gibt es keine Hinweise, dass Angreifer die Schwachstelle bereits ausnutzen. IBM rät Admins aber zu einem zügigen Update.

Die Entwickler versichern, das Sicherheitsproblem in den Versionen IBM App Connect Enterprise v12- Fix Pack Release 12.0.12.21 und IBM App Connect Enterprise v13- Fix Pack Release 13.0.5.2 gelöst zu haben.

(des)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

BIOS-Sicherheitslücke: Angreifer können Schadcode auf Dell-Server schieben

2025-12-22T10:04:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Verschiedene Modelle von Dells PowerEdge-Server-Reihe sind verwundbar. Sicherheitspatches sind verfügbar.

(Bild: Artur Szczybylo/Shutterstock.com)

22.12.2025, 11:04 Uhr

Lesezeit: 1 Min.

Security

Von

Dennis Schirrmacher

Aufgrund einer BIOS-Schwachstelle können Angreifer Dell PowerEdge Server attackieren und Systeme vollständig kompromittieren. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Admins sollten die Sicherheitsupdates zeitnah installieren.

Server schützen

Videos by heise

In einer Warnmeldung listet Dell die betroffenen PowerEdge-Server-Modelle auf. Darunter fallen etwa PowerEdge R770, PowerEdge M7725 und PowerEdge R750XA. Die Lücke (CVE-2025-42446 „hoch“) findet sich im von American Megatrends Inc. (AMI) entwickelten BIOS. Daran können Angreifer auf einem nicht näher beschriebenen Weg für eine Schadcode-Attacke ansetzen. Konkret ist das SSM Module SmmWhea betroffen. Wie aus einem Beitrag von AMI hervorgeht, ist die Lücke schon seit Mai dieses Jahres bekannt. Warum Dell die Schwachstelle erst jetzt aufgreift, ist zurzeit nicht bekannt.

Dell versichert, dass die Firmwares 1.4.1, 1.5.3, 1.6.4, 1.10.3, 1.15.3, 1.19.2, 1.21.1, 2.19.1, 2.21.1, 2.4.0 und 2.8.2 abgesichert sind.

(des)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

l+f: Reverse Engineering Schritt-für-Schritt – KI hilft auch mit

2025-12-22T08:14:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Ein Sicherheitsforscher nimmt Interessierte mit auf eine Reise in eine IP-Kamera-Firmware. Das Ergebnis sind verspätete Patches für TP-Links Tapo-C200-Modell.

(Bild: Jackie Niam/Shutterstock.com)

22.12.2025, 09:14 Uhr

Lesezeit: 2 Min.

Security

Von

Dennis Schirrmacher

Wie funktioniert eigentlich Reverse Engineering und wie kann KI dabei helfen? Am Beispiel einer Firmware von TP-Link zeigt ein Sicherheitsforscher, wie die Rekonstruktion des Codes vonstattengehen kann, auf welche Sicherheitsprobleme er dabei gestoßen ist und wie sich der Hersteller dazu verhalten hat.

Arbeitsweise

Seine Erkenntnisse hat er in einem Beitrag zusammengefasst. Dabei geht er Schritt für Schritt vor. Die Firmware für die IP-Kamera hat er öffentlich im Internet verfügbar entdeckt und sie mit Tools wie binwalk analysiert. Über den KI-Chatbot Grok hat er dann Informationen zum Entschlüsseln des Codes gesammelt.

Nach der Entschlüsselung begab er sich mit Werkzeugen wie Ghidra auf die Suche nach Bugs. Bei der Analyse des Dateisystems half ihm das KI-Tool Cline. Weiterführende Details zu bestimmten Funktionen im Code ließ er sich von KI erläutern.

Ergebnis

Am Ende stuft er die Kombination aus seinem Fachwissen und KI-Tools als erfolgreich ein und er stieß auf insgesamt drei Sicherheitslücken (CVE-2025-8065 „hoch“, CVE-2025-14299 „hoch“, CVE-2025-14300 „hoch“). An den Schwachstellen können entfernte Angreifer für DoS-Attacken ansetzen. Mittlerweile hat der Hersteller Sicherheitspatches veröffentlicht.

Die Kommunikation mit TP-Link stuft der Sicherheitsforscher als langwierig ein. Nach seiner Meldung im Juli dieses Jahres hat der Hersteller erst im Dezember Updates veröffentlicht.

Er schließt seinen Beitrag kritisch: TP-Link ist eine CVE Numbering Authority (CNA) und kann somit CVE-Kennungen für an sie gemeldete Schwachstellen vergeben. Im gleichen Atemzug werben sie damit, dass sie weniger Sicherheitslücken als die Konkurrenz von Cisco & Co. haben. „Es besteht ein offensichtlicher und struktureller Interessenkonflikt, wenn ein Anbieter seine eigene CNA sein darf und gleichzeitig die Anzahl seiner CVEs als Marketingkennzahl nutzt.“

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(des)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

BND-Agenten sollen Wohnungen betreten und Bundestrojaner installieren dürfen

2025-12-19T16:53:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Kanzleramt reformiert BND-Gesetz: Mehr Befugnisse, inklusive Eindringen in Wohnungen zur Installation von Spionagesoftware.

123

(Bild: nitpicker/Shutterstock.com)

19.12.2025, 17:53 Uhr

Lesezeit: 3 Min.

Von

Stefan Krempl

Das Bundeskanzleramt treibt eine umfangreiche Reform des Gesetzes für den Bundesnachrichtendienst (BND) voran. Ziel ist es, den Auslandsgeheimdienst technologisch wie operativ aufzurüsten. Das berichten WDR, NDR und Süddeutsche Zeitung. Ein Kernpunkt der Initiative ist demnach die Befugnis für die Agenten, physisch in Wohnungen einzudringen, um Spionagesoftware wie den Bundestrojaner heimlich direkt auf IT-Systemen von Zielpersonen zu installieren. Das soll helfen, technische Hürden wie Verschlüsselung und die Abschottung von Endgeräten zu umgehen. Das spiegelt einen Trend wider, der sich auf Länderebene abzeichnet: Erst jüngst beschloss das Berliner Abgeordnetenhaus: Die dortige Polizei darf Wohnungen heimlich betreten, um Staatstrojaner zu platzieren.

Brisant ist auch die vorgesehene Einführung „operativer Anschlussmaßnahmen“, die den BND zur Sabotage im Ausland ermächtigen würden. Bisher war die Arbeit der Behörde darauf beschränkt, Erkenntnisse zu gewinnen und diese für die politische Entscheidungsfindung aufzubereiten. Nach den Plänen soll der Dienst eigenständig handeln dürfen, um die Angriffsfähigkeit gegnerischer Akteure zu schwächen. Dies reicht von der Störung feindlicher Kommunikationsnetze bis hin zur Unschädlichmachung von Waffensystemen durch gezielte Cyberoperationen. Bei Cyberangriffen auf deutsche Ziele soll es dem BND so laut den Berichten erlaubt werden, im Rahmen der umstrittenen „Hackbacks“ aktiv zurückzuschlagen. Die Spione dürften etwa Datenströme umleiten oder die für die Attacken genutzte IT-Infrastruktur im Ausland direkt selbst angreifen.

Videos by heise

Sabotage nicht nur im Cyberraum

Der Entwurf sieht vor, dass BND-Mitarbeiter physisch an gegnerischen Geräten oder Waffensystemen Manipulationen vornehmen dürfen. Dies könnte die Sabotage von Raketentechnik oder Zentrifugen umfassen, um deren Einsatz oder Weitergabe in Krisenstaaten zu verhindern. Das Kanzleramt setzt ferner auf moderne Analysewerkzeuge: Der Einsatz von KI zur Datenauswertung soll ebenso verankert werden wie die Nutzung von Gesichtserkennungssoftware. Der Dienst könnte zudem künftig Standort- und Routendaten direkt bei Fahrzeugherstellern oder Werkstätten abrufen. Damit diese weitreichenden Befugnisse greifen, müsste der Nationale Sicherheitsrat zuvor eine Sonderlage feststellen, die eine systematische Gefährdung der Bundesrepublik beschreibt. Der BND würde damit in einer Grauzone zwischen klassischer Spionage und militärischer Verteidigung agieren.

Insgesamt umfasst der Entwurf 139 Paragraphen, was einer Verdopplung des bisherigen Normenwerks entspricht und den Anspruch der Reform unterstreicht. Der BND dürfte künftig so auch verdächtige Drohnen über seinen Liegenschaften mit „geeigneten Mitteln“ abwehren. Das Kanzleramt betont, mit der Leistungsfähigkeit internationaler Partnerdienste wie der NSA Schritt halten zu müssen, um in einer veränderten Weltlage handlungsfähig zu bleiben. Die Vorgaben des Bundesverfassungsgerichts zur Datenübermittlung sollen zwar umgesetzt werden, doch der Fokus liegt auf einer offensiven Ausrichtung. Mit dem Mix aus physischer Infiltration, digitaler Sabotage und KI-Überwachung will die Regierungszentrale den Nachrichtendienst als schlagkräftiges Instrument einer „hemdsärmeligeren“ Sicherheitspolitik positionieren. Zunächst müssen aber die anderen Ressorts zustimmen, damit das parlamentarische Verfahren starten kann.

(mki)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Foxit PDF: Updates schließen hochriskante Sicherheitslücken

2025-12-19T10:52:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Updates für Foxit PDF Editor und Reader für macOS und Windows schließen Sicherheitslücken. Angreifer können dadurch Schadcode einschleusen.

(Bild: heise online)

19.12.2025, 11:52 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Die Entwickler von Foxit PDF haben neue Versionen des Editors und des Readers sowohl für macOS als auch für Windows herausgegeben. Sie schließen eine größere Zahl an Sicherheitslücken, von denen einige sogar die Risikoeinstufung „kritisch“ nur um Haaresbreite verfehlen.

Auf der Foxit-Webseite mit Sicherheitsmitteilungen kündigen die Entwickler die aktualisierten Softwarepakete an. Eine der schwerwiegendsten Schwachstellen betrifft die Windows-Version, wenn sie aus dem Microsoft Store installiert wurde. Angreifer mit niedrigen Berechtigungen können dem Installer Code unterschieben, da der „msiexec.exe“ aus dem aktuellen Pfad aufruft anstatt aus dem vertrauenswürdigen Systempfad (CVE-2025-57779, CVSS 8.8, Risiko „hoch“). Auch im Updater für die Windows-Version (ohne die Einschränkung auf den MS-Store-Bezug) können lokale Angreifer ihre Rechte zu „SYSTEM“ ausweiten, da bei der Plug-in-Installation falsche Dateisystemberechtigungen für Ressourcen vergeben werden, die der Updater nutzt (CVE-2025-13941, CVSS 8.8, Risiko „hoch“).

Weitere Sicherheitslücken in allen Versionen

Auch die Mac-Versionen sind von weiteren „Use-after-free“-Schwachstellen . Die können Angreifer zum Einschleusen von Schadcode mit manipulierten PDF-Dateien missbrauchen – betCVE-2025-58085, CVE-2025-59488, CVE-2025-66493, CVE-2025-66494 und CVE-2025-66495 erhalten alle eine Risikoeinstufung „hoch“ mit einem CVSS-Wert 7.8. Hierbei greift der Programmcode auf Ressourcen zu, die zuvor bereits freigegeben wurden und daher einen undefinierten Inhalt haben. Ein Heap-basierter Pufferüberlauf kann zudem bei der Verarbeitung von JBIG2-Daten in PDFs auftreten und dabei eingeschleuster Code zur Ausführung gelangen (CVE-2025-66499, CVSS 7.8, Risiko „hoch“). Drei weitere Lücken (CVE-2025-66496, CVE-2025-66497 und CVE-2025-66498) stufen die Entwickler mit CVSS 5.3 nur als „mittleres“ Risiko ein.

Die Schwachstellen bessern die jetzt verfügbaren Versionen Foxit PDF Reader 2025.3 sowie PDF Editor 2025.3, 14.0.2 und 13.2.2 für macOS und Windows aus. Betroffene können sie von der Download-Seite bei Foxit herunterladen. Lokal lässt sich das Update durch Klick auf „Hilfe“ – „Über Foxit PDF [Editor|Reader]“ – „Auf Update prüfen“ suchen und anwenden.

Videos by heise

Zuletzt hatte Foxit im August mit Softwareupdates Sicherheitslücken in den PDF-Programmen geschlossen. Auch da galten einige Lücken als „hohes“ Risiko. Sie erlaubten Angreifern unter anderem das Einschleusen und Ausführen von Schadcode.

(dmk)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Jetzt patchen! Angreifer schieben Schadcode auf WatchGuard Firebox

2025-12-19T08:39:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Derzeit haben es Angreifer auf WatchGuard-Firewalls der Firebox-Serie abgesehen. Sicherheitspatches stehen zum Download bereit.

(Bild: solarseven/Shutterstock.com)

19.12.2025, 09:39 Uhr

Lesezeit: 2 Min.

Security

Von

Dennis Schirrmacher

Aufgrund von zurzeit laufenden Attacken sollten Admins ihre Firebox-Firewalls von WatchGuard auf den aktuellen Stand bringen. Angreifer führen Schadcode aus.

Hintergründe

In einer Warnmeldung führen die Entwickler aus, dass von der „kritischen“ Sicherheitslücke (CVE-2025-14733) in Fireware OS folgende Konfigurationen betroffen sind: Mobile User VPN mit IKEv2 und Branch Office VPN mit IKEv2, wenn es mit einem dynamischen Gateway-Peer konfiguriert ist.

Ist das gegeben, sind Attacken aus der Ferne und ohne Authentifizierung möglich. Setzen Angreifer erfolgreich an der Lücke an, kommt es zu Speicherfehlern (Out-of-bounds) und es gelangt Schadcode auf Systeme.

Videos by heise

In welchem Umfang und wie genau solche Attacken ablaufen, ist derzeit nicht bekannt. Unklar ist auch, was Angreifer konkret anstellen. Aufgrund der kritischen Einstufung ist aber davon auszugehen, dass Angreifer Geräte nach der Ausführung von Schadcode vollständig kompromittieren.

Damit Admins bereits attackierte Instanzen erkennen können, listet WatchGuard diverse Parameter (Indicator of Compromise, IoC) wie IP-Adressen in der Warnmeldung auf. Es gibt aber auch bestimmte Hinweise in Logdateien. Außerdem kommt es nach erfolgreichen Angriffen zu Fehlern bei VPN-Verbindungen.

Gegenmaßnahmen

Um Firewalls und Netzwerke zu schützen, müssen Admins zügig Fireware OS 12.3.1_Update4 (B728352), 12.5.15, 12.11.6 oder 2025.1.4 installieren. Für den Versionsstrang 11.x ist der Support ausgelaufen und es gibt keine Sicherheitspatches mehr. An dieser Stelle ist ein Upgrade nötig.

Können Admins die abgesicherten Ausgaben nicht direkt installieren, müssen sie Geräte temporär über einen Workaround absichern.

(des)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Windows-Notfall-Update korrigiert Message-Queuing-Probleme

2025-12-19T06:00:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Windows-Sicherheitsupdates führen zu Störungen des Message Queuing (MSMQ) von Windows 10 und Server bis 2019. Notfallupdates lösen das.

(Bild: heise online / dmk)

19.12.2025, 07:00 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Anfang der Woche wurde bekannt, dass die Sicherheitsupdates für Windows im Dezember unerwünschte Nebenwirkungen haben: Das Message Queuing (MSMQ), das der Anwendungskommunikation dient, wird davon in Windows 10 und Windows Servern bis 2019 gestört, was zu Software-Ausfällen führen kann. Nun steuert Microsoft mit Notfallupdates außer der Reihe gegen.

Den Eintrag in den Windows-Release-Health-Notizen hat Microsoft in der Nacht zum Freitag mit dieser Lösung aktualisiert. Das Update mit dem Knowledgebase-Eintrag KB5074976 (Windows 10), KB5074975 (Windows Server 2019) respektive KB5074974 (Windows Server 2016) steht jetzt bereit und hievt die Windows-10-Build-Nummern auf 19044.6693 und 19045.6693. Es handelt sich um ein kumulatives Update, es umfasst auch die weiteren Änderungen des Windows-Updates zum Dezember-Patchday von Microsoft.

Notfall-Updates nur teilweise erhältlich

Das Update erhalten IT-Verantwortliche ausschließlich über den Windows-Update-Katalog durch Suche nach der KB-Nummer. In den KB-Einträgen verlinkt Microsoft auch entsprechend in den Windows-Update-Katalog, allerdings stehen zum Meldungszeitpunkt die Updates für Server entgegen der Ankündigung noch nicht zum Herunterladen bereit.

Inzwischen hat Microsoft die Liste der betroffenen Betriebssysteme deutlich erweitert. Hieß es zunächst, Windows 10 22H2, Windows Server 2016 und 2019 wiesen die MSMQ-Probleme nach der Aktualisierung auf, nennt Microsoft nun Windows 10 22H2, 21H2 sowie 1809 und 1607 und die Server-Versionen 2019, 2016, 2012 R2 und 2012 als anfällig dafür auf.

Videos by heise

Die Probleme mit dem Dezember-Update wurden am Montag dieser Woche bekannt. Die Störungen stammen von den darin vorgenommenen Änderungen am MSMQ-Sicherheitsmodell und NTFS-Zugriffsrechten für den Ordner „C:\Windows\System32\MSMQ\storage“. MSMQ-Nutzerinnen und -Nutzer müssen jetzt Schreibzugriff auf diesen Ordner haben, was üblicherweise auf die Administratoren beschränkt ist. In der Folge können Versuche, Nachrichten mittels MSMQ-APIs zu schicken, mit Ressourcenfehlern fehlschlagen.

(dmk)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Tastatur-Verzögerung entlarvt nordkoreanischen IT-Maulwurf bei Amazon.com

2025-12-18T22:00:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Die Tastenanschläge eines externen Mitarbeiters waren verdächtig verzögert. Amazon.com erkannte ihn als Nordkoreaner.

297

Nordkoreas Fahne

(Bild: Jiri Flogel/Shutterstock.com)

18.12.2025, 23:00 Uhr

Lesezeit: 2 Min.

Von

Daniel AJ Sokolov

IT-Fachkräfte aus Nordkorea schleichen sich unter falschen Identitäten bei westlichen Unternehmen ein. Durch Heimarbeit verschaffen sie der nordkoreanischen Regierung Einnahmen, bei Gelegenheit sammeln sie auch regimedienliche Daten. Amazon.com hat einen solchen Maulwurf ausgehoben. Verraten hat ihn die um einen Sekundenbruchteil langsameren Tastaturbedienung.

Der Datenkonzern hatte den Administrator-Job an einen Personaldienstleister ausgelagert. Dieser meinte, jemanden in Arizona eingestellt zu haben, und Amazon schickte ihm einen Laptop. Darauf installierte Sicherheitssoftware schlug Alarm: Die Laufzeit der zu Amazons Servern übertragenen Tastaturanschläge lag nicht im Bereich einiger Dutzend Millisekunden, sondern bei 110 Millisekunden.

Teil einer nordkoreanischen Laptopfarm in Arizona

(Bild: gemeinfrei)

Das hat Amazons Chief Security Officer Stephen Schmidt dem Nachrichtendienst Bloomberg erzählt. Die längere Verzögerung deutet darauf hin, dass der Benutzer nicht, wie behauptet, in Arizona sitzt, sondern weit weg. Amazon beobachtete die Arbeit des Verdächtigen für einige Tage, ließ sich dessen Stellenbewerbung kommen und ihn schließlich hinausschmeißen.

Denn die Adresse in Arizona entpuppte sich als Haushalt einer Frau, die den Laptop aufgestellt und mit dem Server des nordkoreanischen Maulwurfs verbunden hatte. Außerdem nahm sie die Gehaltszahlungen entgegen und leitete sie weiter. Das war kein Einzelfall: In einem US-Strafverfahren ist sie wegen Einschleusens nordkoreanischer IT-Fachkräften in mehr als 300 US-Unternehmen im Juli zu achteinhalb Jahren Haft verurteilt worden (USA v Christina Chapman, Az. 1:24-cr-00220) US-Bundesbezirksgericht für den District of Coumbia,

Immer mehr nordkoreanische Bewerbungen

„Wenn wir nicht nach nordkoreanischen Arbeitern gesucht hätten, hätten wir ihn nicht gefunden”, sagt Schmidt. Zugriff auf relevante Daten habe der Täter nicht gehabt. Seine Bewerbung habe Muster wiederholt, die schon bei anderen nordkoreanischen IT-Maulwürfen beobachtet wurden. Demnach haben sie Schwierigkeiten mit bestimmten Idiomen und Artikeln der englischen Sprache. Zudem gäben sie oft die gleichen ausländischen Bildungseinrichtungen und früheren Arbeitgeber an, die zu verifizieren für US-Unternehmen nicht simpel ist.

Videos by heise

Amazon gibt an, schon eine vierstellige Zahl an Bewerbungen erhalten zu haben, die es als nordkoreanischen Betrugsversuch einstufen konnte. Dieses Jahr sei die Zahl sprunghaft gestiegen. In der direkt beschäftigten Belegschaft will Amazon noch keine heimlichen Nordkoreaner aufgedeckt haben. Im November haben sich in den USA fünf weitere Unterstützer Nordkoreas schuldig bekannt.

(ds)

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Was ist los bei Outfittery? Phishingversuch per Kunden-Mailing

2025-12-18T14:38:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Der Berliner Kleidungsversand bat Kunden um eine Aktualisierung ihrer Zahlungsdaten. Der Link in der E-Mail führte jedoch auf eine Phishing-Seite.

(Bild: wk1003mike/Shutterstock.com)

15:38 Uhr

Lesezeit: 5 Min.

Security

Von

Dr. Christopher Kunz

Das Berliner Unternehmen Outfittery wirbt mit einem innovativen Konzept: Kunden bekommen individuell auf sie abgestimmte Outfits statt einzelner Kleidungsstücke. Seit Anfang Dezember gibt es obendrein jedoch auch Phishing-Versuche. Diese verweisen auf offizielle Outfittery-Domains und stammen offenbar aus den Systemen des Unternehmens selbst. Eine persönliche Spurensuche.

In der Vorweihnachtszeit trudeln allerlei Newsletter und Angebote im digitalen Postfach ein: Da möchte ein Versand auf seine Bestellfristen vor dem Fest hinweisen, ein Onlineshop hat Geschenkideen für die Lieben und ein dritter bittet um dringende Aktualisierung der Zahlungsdaten. So weit, so normal, doch halt: Irgendwas ist komisch an der E-Mail von Outfittery.

Verdächtige E-Mail aus legitimer Quelle

Die Aufmachung der Nachricht, die am 5. Dezember um 9:20 vormittags in meiner Inbox eintrudelte, erinnert stark an die Designsprache von Outfittery: Vor pastellfarbenem Hintergrund bewegen sich modische, aufeinander abgestimmte Kleidungsstücke. Auf Englisch werde ich – mit Vornamen angesprochen – auf ein Problem mit meiner Bezahlmethode aufmerksam gemacht und gebeten, über einen blau markierten Link eine Aktualisierung vorzunehmen. Nur so könne meine Mitgliedschaft weitergehen.

Phishingmail von Outfittery: Bitte dringend Zahlungsdaten ändern

Videos by heise

Allein: welche Mitgliedschaft? Schließlich habe ich den Dienst nie wirklich genutzt, sondern lediglich einmal ein Outfit zusammengestellt und somit auch nie Zahlungsdaten hinterlegt. Die E-Mail war zudem an die mit meinem Facebook-Konto verbundene Mailadresse adressiert – für echte Kundenkonten verwende ich individuelle Adressen.

Vom CRM in die Irre geführt?

Ein genauerer Blick auf die URL, die hinter dem blauen Button, aber auch alle anderen Links in der E-Mail hinterlegt ist: Sie zeigt auf http://lnk.stylist.outfittery.com/ls/click?upn=<lange Zeichenkette>, kann also auch dem Unternehmen zugeordnet werden, das international tätig ist. Dass der Trackinglink per HTTP-URL aufgerufen wird und somit offenbar zu den letzten unverschlüsselten Webseiten der Welt gehört – geschenkt. Beim Klick lande ich jedoch an einer unerwarteten Stelle: Zunächst wird der HTTP- auf einen HTTPS-Link umgebogen (ich fühle mich gleich viel sicherer), dann jedoch auf die kryptische Adresse https://l00ginse1tuponline.net/marketstorep/ weitergeleitet. Dort befand sich zunächst eine Phishing-Seite (registriert am 2. Dezember), aktuell die Sperrseite eines Hosters namens CloudAccess.

Betrug erkannt: Der Hoster sperrte die Outfittery-Phishingseite.

Offenbar hatten Kriminelle also zumindest kurzzeitig Zugriff auf das System, mit dem Outfittery Tracking-Links für seine Marketingmails erstellt. Sie haben einen Link erstellt, der sein wahres Ziel maskiert und ihm den Ruch der Legitimität verleiht – und das bis heute: Auch am 18. Dezember, fast zwei Wochen nach der E-Mail, funktioniert die böswillige Weiterleitung.

Die Header bringen’s an den Tag

Und woher kam die E-Mail? Dem leidgeprüften Mailserver-Veteranen bleibt der reflexartige Griff zur Tastenkombination Strg-U, um die Quellansicht zu öffnen und die Mailheader zu begutachten. Und die zeigen: Die Mail wurde über einen Server versandt, der als legitime Quelle von E-Mails der Firma Outfittery gilt. Das beweisen die gültigen DKIM-Header. Die Rückwärtsauflösung passt zum DNS-Eintrag, die IP gehört zum Maildienstleister Twilio (früher Sendgrid). Zudem ergibt die E-Mail keine Hinweise auf simple Header-Fälschtricks, wie Spammer sie seit Jahrzehnten verwenden.

Kurze Wege: Der Mailserver von Outfittery kippte die Phishingmail direkt bei meinem ein. Das erleichtert die Rückverfolgung.

Nach der Analyse wird klar: Da wurde eine E-Mail über Outfitterys technische Plattform versendet, sie enthält einen Link zur offiziellen Domain des Unternehmens, verweist aber auf einen Phishing-Link. Das deutet auf einen Sicherheitsvorfall hin. So schätzten auch mehrere Leser die Sachlage ein, die uns im Laufe der vergangenen Woche von gleichlautenden E-Mails berichteten. Ein Einzelfall scheint also ausgeschlossen, unklar bleibt jedoch die Quelle des Vorfalls. Gab es einen Einbruch in die Systeme von Outfittery oder des Maildienstleisters? Sind womöglich personenbezogene Daten abgeflossen?

Outfittery taucht ab

Es wurde Zeit, bei Outfittery nachzufragen. Am 9. Dezember stellte ich dem Unternehmen die üblichen Fragen: Woran hat et jelegen, welche Daten wurden kompromittiert und welche Gegenmaßnahmen traf Outfittery? Auf meine Anfrage an die Support- und Datenschutzadresse antwortete das Unternehmen nicht. Eine Woche später hakte ich nach und nahm die mutmaßliche Adresse des Datenschutzbeauftragten der Konzernmutter, dpo@outfittery.com, in den Verteilerkreis auf. Diese Adresse antwortete mir umgehend: mit einer Unzustellbarkeitsnachricht.

Ansonsten herrschte Funkstille, obwohl ich um Antwort bis zum gestrigen 17. Dezember bat. Auch telefonisch macht Outfittery sich rar: Unter der Berliner Telefonnummer, die in der Datenschutzerklärung hinterlegt ist, hört der geneigte Redakteur lediglich eine Bandansage, man habe den Telefonsupport leider eingestellt. Das Unternehmen wechselte kürzlich den Besitzer: Im März verkündete der Geschäftsführer des spanischen Unternehmens Lookiero gemeinsam mit Julia Bösch, der Gründerin des Berliner Unternehmens eine Fusion. Bösch sowie der Prokurist schieden im August dieses Jahres aus der Geschäftsführung aus, die seitdem in spanischer Hand ist.

Dennoch bleibt unklar, was genau vorgefallen ist – auch unsere Leser berichten, auf ihre Anfragen ans Unternehmen keine Antwort erhalten zu haben. Licht ins Dunkel kann nun wohl nur noch eine Anfrage bei der Berliner Datenschutzbeauftragten liefern.

(cku)

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Top 10: Das beste Mittelklasse-Smartphone mit guter Kamera

Frankreich untersucht „ausländische Einmischung“ nach Malware-Fund auf Fähre

2025-12-18T13:33:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Die französische Polizei hat zwei Crew-Mitglieder auf einer Fähre festgenommen. Die wollten sich Zugang zu DV-Systemen verschaffen.

(Bild: Tatoh/Shutterstock.com)

14:33 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Am Freitag vergangener Woche hat die französische Polizei zwei verdächtige Crew-Mitglieder auf einer Personenfähre festgenommen. Die Verdächtigen sollen versucht haben, sich unbefugt Zugang zu den Datenverarbeitungssystemen des Schiffs zu verschaffen.

Das berichtet die Nachrichtenagentur AP und führt aus, dass es sich bei den Verdächtigen um einen Letten und einen Bulgaren handelt. Die französische Spionageabwehrbehörde untersucht den mutmaßlichen Cyberangriff, der auf einer namentlich nicht genannten internationalen Passagierfähre stattfand. Das lettische Besatzungsmitglied ist demnach in Haft und wird beschuldigt, für eine nicht identifizierte ausländische Macht gehandelt zu haben. Dem in Haft genommenen Lette werfen die Behörden kriminelle Verschwörung vor sowie „Hacking“-bezogene Straftaten mit dem Ziel, den Interessen einer ungenannten ausländischen Macht zu dienen. Der Bulgare kam nach der Befragung wieder auf freien Fuß.

Hinweise weisen nach Russland

Frankreichs Innenminister Laurent Nunez deutete jedoch an, dass Russland im Verdacht stehe und äußerte demnach: „Derzeit stammt ausländische Einmischung sehr oft aus demselben Land.“ Das passt zu den Beobachtungen der europäischen Verbündeten der Ukraine, dass Russland einen hybriden Krieg gegen sie führt und dafür zu Mitteln wie Sabotage, Cyberangriffe, Desinformation und anderen feindlichen Machenschaften greift.

Videos by heise

Italienische Behörden haben Frankreichs Generaldirektion für innere Sicherheit den Hinweis geliefert, dass Computersysteme an Bord der Fähre im Hafen von Sète mit einer Software infiziert seien, die manchmal von Cyberkriminellen genutzt werde, hat dem Bericht zufolge die Pariser Staatsanwaltschaft mitgeteilt. Ein Remote Access Trojan (RAT) könnte genutzt worden sein, um die Kontrolle über die Rechner der Fähre zu übernehmen. Innenminister Nunez erklärte, dass es sich um eine sehr ernste Angelegenheit handelt. Man wisse nicht, ob die Verdächtigen die Fähre entführen wollten. Dem fügte er hinzu, dass die Untersuchungen einer Spur der Einmischung zu folgen scheinen, und zwar ausländischer Einmischung.

In Lettland kam es demnach zu Durchsuchungen, jedoch hat die lettische Polizei keinen Kommentar abgegeben. Die Computer der Fähre wurden auf Sicherheit überprüft und die Fähre wieder in Dienst gestellt.

(dmk)

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Top 10: Das beste Mittelklasse-Smartphone mit guter Kamera

EMBA 2.0: Firmware-Analyzer erreicht 95 Prozent Emulationserfolg

2025-12-18T11:33:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Das Firmware-Analysetool EMBA erreicht in Version 2.0 eine Emulationserfolgsrate von 95 Prozent und lässt damit ältere Werkzeuge deutlich hinter sich.

(Bild: heise medien)

12:33 Uhr

Lesezeit: 5 Min.

iX Magazin

Von

Moritz Förster

Die Entwickler von EMBA haben Version 2.0 ihres Firmware-Analysetools veröffentlicht. Das Release markiert nach Angaben des Projekts einen Meilenstein auf dem Weg zur automatischen Erkennung und Verifikation von Schwachstellen in Firmware-Images. EMBA ist ein Bash-basiertes Open-Source-Werkzeug zur automatisierten Firmware-Analyse. Es extrahiert Firmware-Images, führt statische und dynamische Analysen durch, generiert Software Bills of Materials (SBOMs) und erstellt Web-Reports. Die neue Version hebt sich durch eine überarbeitete System-Emulations-Engine hervor, die Geräte in einer emulierten Umgebung automatisch startet und so erkannte Schwachstellen verifiziert.

Benchmarks mit Router-Firmware

Die Entwickler haben EMBA 2.0 mit mehreren Firmware-Testsets verglichen. Beim FirmAE-Corpus, einem vor 2020 zusammengestellten Datensatz mit 1074 Firmware-Images, erreichte EMBA eine Erfolgsrate von 95 Prozent und identifizierte dabei über 6000 Netzwerkdienste. FirmAE selbst war ursprünglich auf eine Erfolgsrate von 79 Prozent optimiert worden, während Firmadyne bloß 16 Prozent schaffte. Als Erfolg gilt hierbei, dass mindestens ein Netzwerkdienst in der emulierten Umgebung erreichbar ist.

Bei einem am Fraunhofer FKIE Home Router Security Report orientierten Testset aus dem Jahr 2020 mit 126 Firmware-Images erreichte EMBA eine Erfolgsrate von 87 Prozent (über 600 Netzwerkdienste), FirmAE kam auf 30 Prozent, Firmadyne auf 5 Prozent. Ein neueres Testset von 2022 mit 121 Images bestätigte den Trend: EMBA emulierte 76 Prozent erfolgreich (rund 400 Netzwerkdienste), FirmAE nur 16 Prozent, Firmadyne lediglich 2 Prozent. Die Benchmarks zeigen, dass die Erfolgsrate bei aktuellerer Firmware sinkt, EMBA aber den Vorsprung zu den älteren Projekten hält.

Videos by heise

KI-Integration und SBOM-Unterstützung

Version 2.0 bietet neben der verbesserten Emulation weitere neue Features: Die Integration von Dependency-Track ermöglicht den automatischen Transfer von SBOMs in Vulnerability- und SBOM-Management-Tools. EMBA unterstützt nun VEX (Vulnerability Exploitability eXchange) und erweiterte SBOM-Quellen. Das Tool nutzt CycloneDX-JSON als SBOM-Format und kann die Daten direkt an Dependency-Track übergeben.

Eine KI-unterstützte Firmware-Analyse ergänzt die klassischen Scan-Module. Neue Analysekomponenten wie Capa mit ATT&CK-Support, Semgrep und Zarn für Perl-Analysen erweitern die Erkennungsfähigkeiten. Das Modul S09 zur Binary-Versionserkennung wurde im Threading verbessert, was die Performance steigert. Die Emulation basiert auf QEMU mit einem angepassten Kernel-Build der Version 4.14.336 LTS, der bessere Kompatibilität mit älterer und aktueller Router-Firmware bieten soll.

Alle Details zum Update auf Version 2.0.0 finden sich auf der EMBA-Projektseite auf GitHub.

Offene Fragen zur Reproduzierbarkeit

Während die Benchmark-Ergebnisse beeindruckend ausfallen, bleiben einige Fragen offen. Die genauen Firmware-Korpora sind nicht vollständig dokumentiert, die Testsets orientieren sich an Home-Router-Firmware von Herstellern wie AVM, Netgear und Asus. Die Rohdaten der Firmware-Images liegen nicht direkt im Repository, sondern sind über externe Quellen wie Zenodo verfügbar. Eine unabhängige Verifikation der Benchmarks durch Dritte steht aus, obwohl das Projekt sich auf akademische Arbeiten wie jene zu FirmAE bezieht.

Die Emulation nutzt QEMU und angepasste Kernel-Patches für Bootloader-Kompatibilität. Diese Patches sind teilweise projektspezifisch, eine Einbringung in Upstream-Projekte wie Linux oder QEMU ist laut Issue-Tracker geplant. Bei proprietären Bootloadern und signierten Firmware-Images stößt EMBA an Grenzen, hier greift das Tool auf User-Mode-Emulation oder statische Analyse zurück.

Bei der Ausführung potenziell schadhafter Firmware in Docker- oder VM-Umgebungen empfehlen die Entwickler zusätzliche Sicherheitsmaßnahmen wie Nested VMs, AppArmor oder SELinux. Netzwerk-Leaks und Kernel-Exploits können Risiken darstellen, weshalb produktive Umgebungen gemieden werden sollten. Rechtliche Aspekte wie die Lizenz-Compliance bei extrahierten proprietären Binaries oder DSGVO-Fragen bei gespeicherten Credentials liegen in der Verantwortung der Nutzer.

Enterprise-Einsatz und Responsible Disclosure

Für Enterprise-Anwender sieht EMBA eine Skalierung über Docker-Swarms und Kubernetes vor. Die Web-UI EMBArk ermöglicht Cluster-Deployments, Performance-Tests zeigen über 100 analysierte Images pro Tag auf 64-Core-Systemen. Die Integration in CI/CD-Pipelines ist über Docker-Images als GitHub Actions oder Jenkins-Steps möglich.

Mechanismen für eine Responsible Disclosure bei automatisch identifizierten Zero-Days sind nicht eingebaut. Die Entwickler verweisen auf manuelle CVD-Prozesse über First.org und den Issue-Tracker. Die Aktualität der Vulnerability-Feeds wird über das Update-Skript sichergestellt, das täglich CVE-Datenbanken wie cve-bin-tool und cve-search aktualisiert.

EMBA positioniert sich als freie Alternative zu kommerziellen Firmware-Scannern. Die höhere Emulationsdeckung gegenüber proprietärer Software spricht für das Werkzeug, allerdings erfordert es eine manuelle Verifikation der Ergebnisse.

(fo)

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Top 10: Das beste Mittelklasse-Smartphone mit guter Kamera

Apache Commons Text: Kritische Lücke in älterer Version der Bibliothek

2025-12-18T11:24:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Apache Commons Text dient zur Verarbeitung von Zeichenketten in Java-Apps. Eine kritische Lücke ermöglicht einschleusen von Schadcode.

(Bild: chanpipat / Shutterstock.com)

12:24 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

In der „Apache Commons Text“-Bibliothek haben Entwickler eine Sicherheitslücke entdeckt. Sie ermöglicht Angreifern, Schadcode aus dem Netz einzuschleusen und auszuführen. Ein Update steht bereits sehr lange zur Verfügung – die Komponente wurde jedoch offenbar in einigen Software-Projekten noch immer nicht aktualisiert.

Die Schwachstellenbeschreibung erörtert, dass vor der Version 1.10.0 Interpolationsfunktionen in Apache Commons Text enthalten waren, die sich missbrauchen lassen, wenn Anwendungen nicht vertrauenswürdige Eingaben an die Text-Substitutions-API durchgereicht haben. Da einige Interpolatoren Aktionen wie das Ausführen von Befehlen oder den Zugriff auf externe Ressourcen auslösen könnten, erlaubt das Angreifern unter Umständen, Schadcode aus dem Netz einzuschleusen und auszuführen (CVE-2025-46295, CVSS 9.8, Risiko „kritisch“).

Das erinnert an eine Schwachstelle in Apache Commons Text, die das Projekt bereits Ende 2022 ausgebessert hat – mit derselben Version, die bereits die nun entdeckte Sicherheitslücke schließt, Apache Commons Text 1.10.0. Die Schwachstelle damals erinnerte bereits an das Log4j-Desaster aus dem Jahr 2021, wie auch die jetzt gemeldete Sicherheitslücke.

Anfällige Bibliothek in anderen Softwarepaketen

Aufgefallen ist das einem „anonymen IT-Forscher“, der das Problem im FileMaker Server entdeckt hat. Laut Sicherheitsmitteilung vom Hersteller Claris haben die Entwickler die Apache-Commons-Text-Bibliothek auf den Stand 1.14.0 gebracht und das in FileMaker Server 22.0.4 einfließen lassen.

Videos by heise

Wer die Bibliothek „Apache Commons Text“ einsetzt, sollte sicherstellen, mindestens die Version 1.10.0 einzusetzen. Besser ist jedoch, etwa den aktuellen Stand 1.15.0 vom Anfang Dezember 2025 einzusetzen. Das Projekt stellt sowohl Binärdateien als auch Quellcodes auf der Apache-Webseite zum Herunterladen bereit, mit denen IT-Verantwortliche das erledigen können.

(dmk)

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Top 10: Das beste Mittelklasse-Smartphone mit guter Kamera

Sicherheitslücken: Nvidia wappnet KI- und Robotiksoftware vor möglichen Attacken

2025-12-18T10:25:00.000Z

${intro} ${title}

${lead}

${intro} ${title}

${lead}

Alert!

Wichtige Sicherheitsupdates schließen mehrere Schwachstellen in Nvidia Isaac Lab, NeMo Framework und Resiliency Extension.

(Bild: AFANASEV IVAN/Shutterstock.com)

11:25 Uhr

Lesezeit: 2 Min.

Security

Von

Dennis Schirrmacher

KI- und Robotikentwickler, die mit Nvidia-Software arbeiten, sollten zeitnah die verfügbaren Sicherheitspatches für Isaac Lab, NeMo Framework und Resiliency Extension installieren. Andernfalls können Angreifer an mehreren Schwachstellen ansetzen, um Systeme zu kompromittieren. Bislang gibt es noch keine Hinweise auf laufende Attacken. Gleichwohl sollten Admins die Updates zeitnah installieren, um Angreifern die Angriffsfläche zu nehmen.

Diverse Sicherheitslücken geschlossen

Wie aus einer Warnmeldung hervorgeht, gilt eine „kritische“ Schwachstelle (CVE-2025-32210) im Robotik-Framework Isaac Lab am gefährlichsten. Weil in diesem Kontext nicht vertrauenswürdige Daten verarbeitet werden, kommt es zu Fehlern. Dabei kann Schadcode auf Systeme gelangen und diese kompromittieren.

Davon sind den Entwicklern zufolge alle Plattformen betroffen. Isaac Sim v2.3.0 ist gegen die geschilderte Attacke geschützt. Alle vorigen Ausgaben seien bedroht. Ob es bereits Attacken gibt und wie Angriffe im Detail ablaufen könnten, ist bislang unklar.

Videos by heise

NeMo Framework und Resiliency Extension zum Trainieren von KI-Modellen sind jeweils über zwei Sicherheitslücken angreifbar. Setzen Angreifer erfolgreich an den Schwachstellen (CVE2-205-33212 „hoch“, CVE-2025-33226 „hoch“) in NeMo Framework an, können sie Dienste abstürzen lassen, sich höhere Rechte verschaffen oder sogar eigenen Code ausführen. Abhilfe schafft die Version 2.5.3.

In einem Beitrag führen die Entwickler aus, dass Resiliency Extension ausschließlich unter Linux attackierbar ist (CVE-2025-33225 „hoch“, CVE-2025-33235 „hoch“). An diesen Stellen kann es unter anderem zu DoS-Zuständen und damit zu Abstürzen kommen. Dagegen soll die Ausgabe 0.5.0 gerüstet sein.

(des)