Weitere News im April

Kritische Schwachstelle in Ivanti ICS

In den letzten Wochen hat eine schwerwiegende Sicherheitslücke in der VPN-Software Ivanti Connect Secure (ICS) für Aufsehen gesorgt. Ursprünglich als einfacher Bug eingestuft, hat sich diese Schwachstelle als kritische Bedrohung herausgestellt und wird bereits aktiv ausgenutzt.

Die Schwachstelle, die unter der Kennung CVE-2025-22457 geführt wird, ist ein stack-basierter Pufferüberlauf. Durch diese Art von Schwachstelle können Angreifende ohne vorherige Authentifizierung Schadcode aus der Ferne einschleusen und ausführen. Der Fehler wurde in der Version 22.7R2.6 von Ivanti Connect Secure vollständig gepatcht, nachdem er zunächst als weniger kritisch eingestuft wurde.

Seit Mitte März 2025 wurden Angriffe einer chinesischen Cyber-Bande auf diese Schwachstelle beobachtet. Die Gruppe, die den Namen UNC5221 trägt, hat auf den betroffenen Systemen Malware wie den Dropper „Trailblaze“ und die Backdoor „Brushfire“ installiert. Diese Tools ermöglichen es den Angreifenden, unbemerkt Zugang zu den Systemen zu erhalten und weitere schädliche Aktivitäten durchzuführen.

Ivanti hat die ursprüngliche Fehleinschätzung der Schwachstelle eingeräumt und betont, dass die Sicherheitslücke in der neuesten Version der Software behoben wurde.

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-213156-1032.pdf

https://www.heise.de/news/Nur-als-Bug-klassifiziert-Kritische-Sicherheitsluecke-in-Ivanti-ICS-attackiert-10339954.html

Gmails neue E2EE-Funktion

Die Verschlüsselung von E-Mails stellt nach wie vor eine Herausforderung dar (siehe hierzu auch unseren Blog-Beitrag aus dem Jahr 2021). Dabei ist nicht nur die Wahl des geeigneten Standards von Bedeutung (PGP/inline, PGP/MIME oder S/MIME), sondern insbesondere auch die zuverlässige und sichere (authentische) Verteilung der Schlüssel. Google versucht nun, diese Herausforderung mit einem neuen Feature, der Key Access Control List (KACL), zu lösen. Die KACL ist ein zentraler Bestandteil der neuen Ende-zu-Ende-Verschlüsselungsfunktion (E2EE) von Gmail. Der KACL-Server fungiert als leichtgewichtiger Schlüsselserver und kann entweder lokal oder in den meisten Cloud-Diensten gehostet werden. Er generiert und speichert die Verschlüsselungsschlüssel, die für E2EE-Nachrichten verwendet werden. Beim Versand einer verschlüsselten Nachricht verbindet sich der Browser des Absenders mit dem KACL-Server und erhält einen temporären symmetrischen Verschlüsselungsschlüssel. Um die verschlüsselte E-Mail lesen zu können, benötigt man entweder einen Google-Account oder eine Guest-Google-Workspace-Account. Jeder mit Zugriff auf diese Konten kann dann auch die E-Mail im Klartext lesen. Die Erläuterung wie eine zuverlässige Verknüpfung erfolgt, wenn das Empfängerpostfach nicht bei Google liegt, bleibt Google in seiner aktuellen Dokumentation noch schuldig. Somit ist es weniger eine echte E2EE, wo auch wirklich nur der Empfänger (als Person) die Nachricht unverschlüsselt lesen kann. Ob sich dieser Ansatz durchsetzt und die gewünschte Sicherheit bietet, muss noch abgewartet und ggf. im Einzelfall genau geprüft werden. Hierbei wird die Authentizitätsprüfung des Empfängers ein kritischer Aspekt sein.

https://arstechnica.com/security/2025/04/are-new-google-e2ee-emails-really-end-to-end-encrypted-kinda-but-not-really

https://lifehacker.com/how-to-enable-end-to-end-encryption-in-google-messages-1845845418

https://workspace.google.com/blog/identity-and-security/gmail-easy-end-to-end-encryption-all-businesses

Kommandozeilenargumente und EDR-Erkennung

Eine der großen Aufgaben in der Abwehr von Cyber-Angriffen ist die Erkennung von Anomalien. Seit einigen Jahren jedoch sehen wir in der Praxis eine immer höhere Nutzung sogenannter Living off the Land Binaries (LOLBINs). Dies sind auf dem Zielsystem bereits vorhandene reguläre Programme, die durch die Angreifenden missbräuchlich genutzt werden können. Dadurch fällt es schwerer, den Angriff von normalem Nutzerverhalten zu unterscheiden. Ein klassisches Beispiel hierfür sind Remote-Steuerungsanwendungen wie TeamViewer.

Die Hersteller von Lösungen für die Endpoint Detection and Response (EDR) und den Virenschutz fingen daraufhin an, beim Aufruf solcher Programme die Kommandozeilenargumente mit in die Bewertung aufzunehmen, um Anomalien besser zu entdecken. Ein Sicherheitsforscher hat nun gezeigt, wie man bei einigen bekannten Programmen deren Argument-Parsing ausnutzen kann, um EDR-Regeln auszutricksen.

Auch wenn dies nur ein kleiner Baustein im gesamten Konstrukt der Vorfallbehandlung und -erkennung ist, so zeigt es deutlich, wie kreativ Angreifende werden können, und welche Fallstricke beim komplizierten Themenfeld Threat Hunting auftreten können.

https://www.wietzebeukema.nl/blog/bypassing-detections-with-command-line-obfuscation

Weitere News im März

Apple zieht Datenschutz-Tool nach Sicherheitsstreit mit der britischen Regierung zurück

Apple hat beschlossen, seine höchste Sicherheitsstufe, Advanced Data Protection (ADP), für Kunden im Vereinigten Königreich abzuschaffen, nachdem die britische Regierung Zugang zu den Nutzerdaten verlangt hat. ADP bietet eine Ende-zu-Ende-Verschlüsselung, die es nur Kontoinhabern ermöglicht, auf ihre gespeicherten Daten zuzugreifen. Die britische Regierung verlangte jedoch das Recht, diese Daten einzusehen.

Eine entsprechende Modifikation der Funktionalität hat Apple abgelehnt, weil diese die Sicherheit des Schutzmechanismus unterlaufen würde. Britische Apple-Nutzer können jedoch ADP nicht mehr aktivieren, und bestehende Nutzer werden den Zugang später verlieren. Damit fällt die Ende-zu-Ende-Verschlüsselung weg und Dritte, die Zugriff auf die Hintergrundsysteme haben, können prinzipiell die Kundendaten einsehen. Diese Entscheidung hat heftige Reaktionen von Datenschützern und Experten hervorgerufen, die diese Maßnahme als Schwächung der Online-Sicherheit und der Privatsphäre kritisieren.

Die Entscheidung von Apple, ADP in Großbritannien zu deaktivieren, zeigt die Spannungen zwischen Technologieunternehmen und Regierungen in Bezug auf Datenschutz und Sicherheit. Während die britische Regierung argumentiert, dass der Zugang zu verschlüsselten Daten für die Strafverfolgung notwendig sei, betonen Apple und Datenschützer die Bedeutung der Privatsphäre und die Risiken, die mit der Schaffung von „Hintertüren“ verbunden sind. Diese Entwicklung könnte als Präzedenzfall für andere Länder dienen und hat weitreichende Auswirkungen auf die globale Datensicherheit und den Schutz der Privatsphäre.

In Deutschland und der EU ist es aufgrund der strengen Datenschutzregelungen und der Unterstützung von Ende-zu-Ende-Verschlüsselung durch die DSGVO unwahrscheinlich, dass eine ähnliche Situation wie im Vereinigten Königreich entsteht.

https://www.bbc.com/news/articles/cgj54eq4vejo

https://www.heise.de/news/Vergleich-zu-China-Trump-kritisiert-Grossbritanniens-Backdoor-Anordnung-an-Apple-10302545.html

Cisco-Lücke in OpenH264 (CVE-2025-27091)

Eine Schwachstelle in den Decodierungsfunktionen der OpenH264-Bibliothek ermöglicht es einem nicht authentifizierten Angreifenden, aus der Ferne einen Heap-Überlauf auszulösen. Angreifende können einen bösartigen Bitstream in ein Video einbetten und das Opfer dazu bringen, das Video abzuspielen. Dies kann zu einem unerwarteten Absturz des Dekodier-Clients führen und möglicherweise beliebige Befehle auf dem System des Opfers ausführen.

Die betroffenen Versionen sind OpenH264 2.5.0 und vorherige.

OpenH264 sollte auf die neueste Version (2.6.0 oder höher) aktualisiert werden, um diese Schwachstelle zu beheben.

Firefox empfiehlt die Deaktivierung des H264-Features, wenn das Betriebssystem keinen Support für OpenH264 mitliefert.

https://github.com/cisco/openh264/security/advisories/GHSA-m99q-5j7x-7m9x

https://support.mozilla.org/de/kb/openh264-plugin-firefox

Herausforderungen und Chancen der neuen US-Regierung

Die neue US-Regierung unter Trump hat in den vergangenen Wochen viele Entscheidungen getroffen, die für Schlagzeilen gesorgt haben. Nach Anweisung des Secretary of Defense an das Cyber Command Ende Februar, alle Aktionen gegen Russland einzustellen, wurde dies Anfang März dementiert. Parallel arbeitete das Department of Goverment Efficiency („DOGE“) an der Entlassung des Red Teams der CISA bzw. an fragwürdigen Einstellungen ehemaliger Cyberkrimineller im Department of Homeland Security (DHS).

Neben den direkten Auswirkungen auf z. B. bestehende Konflikte sind auch die Verbündeten der USA unsicher über die weitere Zusammenarbeit. Auch die Sicherheits-Community ist von diesen Änderungen betroffen. Das Thema Threat Intelligence wurde in den letzten Jahren maßgeblich durch diese Institutionen geprägt, und bisher ist noch unklar, ob und in welcher Form Alternativen funktionieren.

https://therecord.media/hegseth-orders-cyber-command-stand-down-russia-planning

https://www.politico.eu/article/france-has-trouble-understanding-us-halt-on-cyber-operations-against-russia

https://www.csoonline.com/article/3839098/the-risks-of-standing-down-why-halting-us-cyber-ops-against-russia-erodes-deterrence.html

https://www.stripes.com/theaters/us/2025-03-04/cyber-hegseth-pentagon-russia-17031715.html

Sicherheitsrisiko IoT

Die Akira-Ransomware konnte trotz vorhandener Schutzsoftware im Firmennetzwerk durch den Einsatz eines nicht gepatchten IoT-Geräts (Webcam) in das Firmennetz eindringen und dort die Rechner infizieren. Die Angreifenden nutzten eine Schwachstelle in der Software der Webcam, die nicht von der Endpoint-Detection-and-Response-Software überwacht wurde, um die Ransomware zu verbreiten und Rechner im Firmennetzwerk zu infizieren.

Um derartige Angriffe zu unterbinden, ist eine möglichst feine Segmentierung der Netzwerke sowie eine Überwachung des Datenverkehrs, insbesondere im Zusammenhang mit IoT-Geräten, empfehlenswert.

https://www.heise.de/news/Akira-Ransomware-schluepft-ueber-Webcam-an-IT-Schutzloesung-vorbei-10307987.html

https://www.golem.de/news/cyberangriff-analysiert-hacker-verschluesseln-unternehmensdaten-ueber-eine-webcam-2503-194073.html

https://www.bleepingcomputer.com/news/security/ransomware-gang-encrypted-network-from-a-webcam-to-bypass-edr

Entwickler erstellt Schadcode für den Fall seiner Entlassung

Ein Entwickler installierte in Sorge um seine Entlassung Schadcode auf Systemen seines Arbeitgebers. Dieser Code detektierte die Entlassung bei einer Deaktivierung seines Active-Directory-Nutzers. Der Schadcode setzte Endlosschleifen ein, die darauf abzielten, Java-Virtual-Machines unbenutzbar zu machen und so den Zugriff auf Server zu unterbinden. Als sein Nutzerkonto deaktiviert wurde, führte der Schadcode dazu, dass tausende Anwendende weltweit keinen Zugriff mehr hatten, was zu erheblichen Schäden führte. Dies ereignete sich bereits im Jahr 2019 und führte nun zu einer Verurteilung des Entwicklers.

Regelmäßige Peer-Reviews und Quellcode-Audits, ggf. auch automatisierte Tests und Continuous Integration/Continuous Deployment (CI/CD)-Pipelines, die primär der Qualitätssicherung in der Softwareentwicklung dienen, hätten hier die Tat des Entwicklers vereiteln oder mindestens ihn einem erhöhten Entdeckungsrisiko aussetzen können.

https://www.heise.de/news/Zeitbombe-in-Code-versteckt-Entwickler-verurteilt-10311150.html

https://www.golem.de/news/kollegen-ausgesperrt-systeme-des-ex-arbeitgebers-mit-kill-switch-sabotiert-2503-194115.html

KI-Agenten anfällig für einfache gefährliche Angriffe

Es lässt sich eine signifikant zunehmende Verwendung von KI-Agenten in verschiedenen Bereichen zur Automatisierung von Aufgaben und zur Unterstützung bei Entscheidungsprozessen beobachten (i. d. R. mit Large Language Models – LLM). Die Kompetenz, diese KI-Systeme effektiv zu nutzen und zu steuern, gewinnt damit an Bedeutung.

Doch wie sicher sind diese KI-Agenten?

Eine aktuelle Studie mit dem Titel „Commercial LLM Agents Are Already Vulnerable to Simple Yet Dangerous Attacks“ beleuchtet die Sicherheits- und Datenschutzlücken von kommerziellen LLM-Agenten und zeigt, dass diese oft anfällig für einfache, aber gefährliche Angriffe sind.

Die Autoren der Studie haben eine umfassende Taxonomie der Angriffe erstellt, die Bedrohungsakteure, Ziele, Einstiegspunkte, Sichtbarkeit des Angreifenden, Angriffstechniken und die inhärenten Schwachstellen der Agenten-Pipelines kategorisiert. Die systematische Analyse zeigt, dass die Integration von LLMs in größere Systeme neue Sicherheitsherausforderungen mit sich bringt, die über die bekannten Schwachstellen isolierter LLMs hinausgehen.

Um die praktischen Auswirkungen dieser Schwachstellen zu demonstrieren, führten die Autoren eine Reihe von Angriffen auf populäre Open-Source- und kommerzielle Agenten durch, die bemerkenswert einfach umzusetzen waren und keine speziellen Kenntnisse im Bereich maschinelles Lernen erforderten. Dies unterstreicht die Dringlichkeit, Sicherheitsmaßnahmen zu verbessern und die Robustheit dieser Systeme zu erhöhen.

https://arxiv.org/html/2502.08586v1

https://www.linkedin.com/pulse/wenn-ki-agenten-zu-komplizen-werden-roger-basler-de-roca-qnrre

Wie funktioniert eigentlich Malware auf Handys?

Dass einige Staaten unliebsame Journalisten und Oppositionelle über Mobilgeräte überwachen, ist mittlerweile keine große Neuigkeit mehr. Oftmals wird die israelische Firma Cellebrite in dem Kontext genannt. Wie genau dieser Prozess abläuft, wird von Amnestys SecurityLab [1] am Beispiel NoviSpy beschrieben. Neben den technischen Details, die natürlich für die IT-Security Community spannend sind, ist insbesondere die Art der initialen Kompromittierung fundamental für die Entwicklung des eigenen Threat Models.

Werden Mobilgeräte (oder überhaupt technische Geräte) durch einen Dritten in einen anderen Raum geschafft, beispielsweise bei einer Grenzkontrolle, so kann man davon ausgehen, dass diese Geräte möglicherweise kompromittiert sind. Erst nach ausreichender Untersuchung sollten solche Geräte wiederverwendet werden. Warum diese Untersuchungen nicht durch Hersteller wie Apple angeboten werden, kann man auf techcrunch [2] nachlesen.

Bei IT-Sicherheit wird oft als Erstes an Windows-Clients, Firewalls und Ransomware gedacht. Aber unsere kleinen Taschencomputer haben einen oft unterschätzten Anteil an unserem täglichen Leben, sei es privat oder bei der Arbeit. Auch dort sollte das Thema Sicherheit bedacht werden.

[1] https://securitylab.amnesty.org/latest/2024/12/serbia-a-digital-prison-spyware-and-cellebrite-used-on-journalists-and-activists/

[2] https://techcrunch.com/2024/12/20/why-apple-sends-spyware-victims-to-this-nonprofit-security-l

NSO vs. Whatsapp

Ein anderer großer Player im mobilen Spyware-Markt ist NSO Group Technologies mit ihrer Software Pegasus. Nachdem die Firma 2019 von WhatsApp bzw. Meta verklagt wurde, gab das Gericht nun der Klage statt [1]. Auch wenn die Schadenssumme noch ausgehandelt wird, wird dies in der Branche als ein großer Schlag gegen Firmen wie NSO gedeutet. Einerseits stellte NSO ihre Malware unzureichend zur Verfügung. Andererseits wurde NSO auf Basis des Computer Fraud and Abuse Act (CFAA) und des California Comprehensive Computer Data Access and Fraud Act (CDAFA) verurteilt. Die Übertragbarkeit auf andere Rechtssysteme ist daher nicht zwingend gegeben.

Das Thema ist und bleibt spannend – insbesondere im Kontext der US-Sanktionen gegen die NSO Group [2].

[1] https://storage.courtlistener.com/recap/gov.uscourts.cand.350613/gov.uscourts.cand.350613.494.0.pdf

[2] https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list

Windows-BitLocker-Probleme

BitLocker ist die Microsoft-Implementierung der Verschlüsselung des gesamten Datenträgers. Es bietet mehrere Betriebsmodi, wobei die Secure-Boot-basierte Verschlüsselung am weitesten verbreitet ist. Diese ist bei neueren Windows-11-Installationen standardmäßig unter „Geräteverschlüsselung“ aktiviert. In diesem Modus ist die Festplatte im Ruhezustand verschlüsselt, wird aber automatisch entschlüsselt, wenn ein legitimes Windows gestartet wird. Der Benutzer muss sich lediglich mit seinem normalen Benutzerkonto anmelden. Die wenig bekannte Schwachstelle Bitpixie (CVE-2023-21563), die Microsoft seit 2022 nicht mehr gepatcht hat, kann ausgenutzt werden, um die BitLocker-Verschlüsselung auf einem brandneuen Windows-11-System mit Secure Boot durch einen Downgrade-Angriff zu umgehen.

https://media.ccc.de/v/38c3-windows-bitlocker-screwed-without-a-screwdriver

Lageberichte und Erkenntnisse aus dem Jahr 2024

Wie jedes Jahr beglücken uns das BSI und ähnliche Organisationen mit ihren Lageberichten und Erkenntnissen. Welche Defekte in diesem Jahr besonders häufig in Software festgestellt wurden, kann man der Top 25 CWE (Common Weakness Enumeration) von MITRE entnehmen.

Ein beunruhigender Trend ist die ungewöhnlich häufige Nutzung von 0-day-Schwachstellen durch Ransomware-Gruppen. So kommt nun zu der mittlerweile hoffentlich bekannten Empfehlung, Patches zeitnah einzuspielen, die Frage hinzu, wie man mit 0-days umgeht. Eine Lösung: Security by Design. Auch wenn es sich dabei meist um sicheres Architekturdesign im Software Engineering handelt, kann und sollte dieses Prinzip beim Thema Netzwerkarchitektur ebenfalls bedacht werden. Im Rahmen einer Risikoanalyse werden für jede Komponente die Gefahr einer Kompromittierung und weiteren Bewegung möglicher Angreifer erörtert und entsprechende Maßnahmen getroffen. Oftmals hört man in diesem Kontext Begriffe wie „Zero Trust“ und „Defense-in-Depth“. Die so erreichte Resilienz schützt auch gegen bisher unbekannte Lücken in vielfältig ausgenutzten Komponenten wie z. B. VPN-Zugängen.

Gerade in Deutschland konnten wir auch erleben, welche Auswirkungen diese Angriffe auf die Supply-Chain und Dienstleister haben. Der Vorfall bei der Südwestfalen-IT ist zwar nicht der erste seiner Art, mit circa 1,7 Millionen Betroffenen aber einer der Größeren. Mit der zunehmenden Digitalisierung wächst auch die Abhängigkeit und damit die mögliche Auswirkung solcher Angriffe. Nicht umsonst möchte der Gesetzgeber mit NIS-2 gegensteuern.

Es bleibt abzuwarten, ob sich diese Trends im Jahr 2025 fortsetzen werden, oder ob uns etwas ganz Neues überraschen wird. Klar ist, dass IT-Sicherheit auch im nächsten Jahr ein wichtiges Thema bleibt.

https://cwe.mitre.org/top25/archive/2024/2024_cwe_top25.html https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.pdf?__blob=publicationFile&v=5

Kritische Abhängigkeiten in unserem (digitalen) Alltag

Wenn wir von IT-Sicherheit reden, dann meinen wir oft die Welt der Bits und Bytes. Aber auch der Layer 1 – der Physical Layer – ist Teil dieser Welt. So wurden zunächst im November zwei Unterseekabel in der Ostsee beschädigt und Anfang Dezember ein weiteres zwischen Finnland und Schweden. Ursächlich war wohl ein Schaden durch Bauarbeiten, wobei einige Beobachter auch von Sabotage ausgehen. Die Untersuchungen dauern aktuell noch an.

Kritische Abhängigkeiten kennen wir viele, aber einige sind uns auch unbekannt. Mein Kollege Manuel Atug (@HonkHase) skizziert in einem Interview die Vulnerabilität dieser für die Kommunikation kritischen Unterseekabel.
Kennen Sie Ihre Abhängigkeiten und deren Vulnerabilität?

https://www.hs.fi/suomi/art-2000010875402.html

iOS 18: Sicherheitsfeatures und Mythen über Mobilgeräte

Apple hat mit iOS 18.1 ein spannendes Sicherheitsfeature hinzugefügt: inactivity reboot. Diese Funktion erzwingt einen Neustart des Geräts, wenn es länger als drei Tage lang nicht benutzt wurde. Jiska hat dazu einen wunderbaren Artikel geschrieben, der auch die technischen Details beleuchtet. Einige Nachrichten behaupteten, dass sich iPhones gegenseitig zu Neustarts veranlassen konnten. Dabei handelte es sich offensichtlich um Falschinformationen. Nichtsdestotrotz sorgt das neue Feature dafür, dass Dritte, die ein inaktives Gerät in die Hände bekommen, für einen Zugriff darauf die Sicherungen vom BFU (before first unlock) state überwinden müssen, was einen erheblichen Schutz gegen physische Angriffe bietet.

Nutzende von GrapheneOS haben das Feature bereits seit 2021.

Die Sicherheitsmaßnahmen auf Mobilgeräten entwickeln sich kontinuierlich weiter und bieten so weiterhin eine hohe Sicherheit, wenn es um technische Geräte geht.

https://naehrdine.blogspot.com/2024/11/reverse-engineering-ios-18-inactivity.html https://grapheneos.social/@GrapheneOS/113450097776800819