Weitere News im April
Kritische Schwachstelle in Ivanti ICS
In den letzten Wochen hat eine schwerwiegende Sicherheitslücke in der VPN-Software Ivanti Connect Secure (ICS) für Aufsehen gesorgt. Ursprünglich als einfacher Bug eingestuft, hat sich diese Schwachstelle als kritische Bedrohung herausgestellt und wird bereits aktiv ausgenutzt.
Die Schwachstelle, die unter der Kennung CVE-2025-22457 geführt wird, ist ein stack-basierter Pufferüberlauf. Durch diese Art von Schwachstelle können Angreifende ohne vorherige Authentifizierung Schadcode aus der Ferne einschleusen und ausführen. Der Fehler wurde in der Version 22.7R2.6 von Ivanti Connect Secure vollständig gepatcht, nachdem er zunächst als weniger kritisch eingestuft wurde.
Seit Mitte März 2025 wurden Angriffe einer chinesischen Cyber-Bande auf diese Schwachstelle beobachtet. Die Gruppe, die den Namen UNC5221 trägt, hat auf den betroffenen Systemen Malware wie den Dropper „Trailblaze“ und die Backdoor „Brushfire“ installiert. Diese Tools ermöglichen es den Angreifenden, unbemerkt Zugang zu den Systemen zu erhalten und weitere schädliche Aktivitäten durchzuführen.
Ivanti hat die ursprüngliche Fehleinschätzung der Schwachstelle eingeräumt und betont, dass die Sicherheitslücke in der neuesten Version der Software behoben wurde.
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-213156-1032.pdf
Gmails neue E2EE-Funktion
Die Verschlüsselung von E-Mails stellt nach wie vor eine Herausforderung dar (siehe hierzu auch unseren Blog-Beitrag aus dem Jahr 2021). Dabei ist nicht nur die Wahl des geeigneten Standards von Bedeutung (PGP/inline, PGP/MIME oder S/MIME), sondern insbesondere auch die zuverlässige und sichere (authentische) Verteilung der Schlüssel. Google versucht nun, diese Herausforderung mit einem neuen Feature, der Key Access Control List (KACL), zu lösen. Die KACL ist ein zentraler Bestandteil der neuen Ende-zu-Ende-Verschlüsselungsfunktion (E2EE) von Gmail. Der KACL-Server fungiert als leichtgewichtiger Schlüsselserver und kann entweder lokal oder in den meisten Cloud-Diensten gehostet werden. Er generiert und speichert die Verschlüsselungsschlüssel, die für E2EE-Nachrichten verwendet werden. Beim Versand einer verschlüsselten Nachricht verbindet sich der Browser des Absenders mit dem KACL-Server und erhält einen temporären symmetrischen Verschlüsselungsschlüssel. Um die verschlüsselte E-Mail lesen zu können, benötigt man entweder einen Google-Account oder eine Guest-Google-Workspace-Account. Jeder mit Zugriff auf diese Konten kann dann auch die E-Mail im Klartext lesen. Die Erläuterung wie eine zuverlässige Verknüpfung erfolgt, wenn das Empfängerpostfach nicht bei Google liegt, bleibt Google in seiner aktuellen Dokumentation noch schuldig. Somit ist es weniger eine echte E2EE, wo auch wirklich nur der Empfänger (als Person) die Nachricht unverschlüsselt lesen kann. Ob sich dieser Ansatz durchsetzt und die gewünschte Sicherheit bietet, muss noch abgewartet und ggf. im Einzelfall genau geprüft werden. Hierbei wird die Authentizitätsprüfung des Empfängers ein kritischer Aspekt sein.
https://lifehacker.com/how-to-enable-end-to-end-encryption-in-google-messages-1845845418
Kommandozeilenargumente und EDR-Erkennung
Eine der großen Aufgaben in der Abwehr von Cyber-Angriffen ist die Erkennung von Anomalien. Seit einigen Jahren jedoch sehen wir in der Praxis eine immer höhere Nutzung sogenannter Living off the Land Binaries (LOLBINs). Dies sind auf dem Zielsystem bereits vorhandene reguläre Programme, die durch die Angreifenden missbräuchlich genutzt werden können. Dadurch fällt es schwerer, den Angriff von normalem Nutzerverhalten zu unterscheiden. Ein klassisches Beispiel hierfür sind Remote-Steuerungsanwendungen wie TeamViewer.
Die Hersteller von Lösungen für die Endpoint Detection and Response (EDR) und den Virenschutz fingen daraufhin an, beim Aufruf solcher Programme die Kommandozeilenargumente mit in die Bewertung aufzunehmen, um Anomalien besser zu entdecken. Ein Sicherheitsforscher hat nun gezeigt, wie man bei einigen bekannten Programmen deren Argument-Parsing ausnutzen kann, um EDR-Regeln auszutricksen.
Auch wenn dies nur ein kleiner Baustein im gesamten Konstrukt der Vorfallbehandlung und -erkennung ist, so zeigt es deutlich, wie kreativ Angreifende werden können, und welche Fallstricke beim komplizierten Themenfeld Threat Hunting auftreten können.
https://www.wietzebeukema.nl/blog/bypassing-detections-with-command-line-obfuscation
