Teamviewer warnt vor einer Sicherheitslücke in Teamviewer Remote Management für Windows, die Angreifern die Ausweitung ihrer Rechte am System ermöglicht. Aktualisierte Software-Pakete der Fernwartungslösung zum Stopfen des Sicherheitslecks stehen bereit.

In einer Sicherheitsmitteilung erklären die Teamviewer-Entwickler, dass Nutzerinnen und Nutzer mit niedrigen lokalen Rechten aufgrund der Schwachstelle Dateien mit SYSTEM-Rechten löschen können. Dies könne zur Ausweitung ihrer Rechte missbraucht werden (CVE-2025-36537 / EUVD-2025-19030, CVSS 7.0, Risiko „hoch„). Detaillierter lautet die Erklärung, dass eine nicht korrekte Rechtezuweisung für eine kritische Komponente im Teamviewer Client – sowohl Full, als auch Host – von Teamviewer Remote und der Monitoring-Komponente Tensor unter Windows es Usern mit niedrigen Privilegien ermöglicht, das Löschen beliebiger Dateien mit SYSTEM-Rechten anzustoßen. Das kann über den MSI-Rollback-Mechanismus ausgelöst werden.

Betroffene Software

Das betreffe lediglich die Fernverwaltungsfunktionen Backup, Monitoring und Patch-Verwaltung. Installationen unter Windows, die keine dieser Komponenten laufen haben, seien demnach nicht anfällig. Anzeichen für Angriffe über das Internet habe Teamviewer noch nicht entdeckt. Die Teamviewer-Software in Version 15.67 korrigiert den sicherheitsrelevanten Fehler. Teamviewer empfiehlt den Kunden, auf die jüngste verfügbare Version zu aktualisieren.

Auch für ältere Versionszweige stellt Teamviewer Updates bereit: Der Teamviewer Remote Full Client für Windows und Teamviewer Remote Host für Windows enthält das Sicherheitsleck in den Versionen 15.67, 14.7.48809, 13.2.36227, 12.0.259325 und 11.0.259324 nicht mehr. Außerdem gibt es für die Software unter Windows 7 und 8 noch das Update auf 15.64.5. Sie stehen auf der Downloadseite von Teamviewer zum Herunterladen bereit.

Auch im Januar hatte Teamviewer eine Sicherheitslücke zu vermelden, die bösartigen Akteuren das Ausweiten ihrer Rechte ermöglichte. Auch da war insbesondere die Windows-Software betroffen.

(dmk)

IT-Sicherheitsforscher beobachten Preissteigerungen bei aktuellen Betrugsmaschen mit Sextortion-E-Mails. Offenbar sind auch die Betrüger inflationsgebeutelt und brauchen mehr Geld.

Davon berichtet Malwarebytes in einem aktuellen Blog-Beitrag. Solche Betrugsmails laufen häufig in Wellen in die Postfächer von Empfängern ein, die IT-Sicherheitsforscher nennen typische Anreden wie „Hello pervert“. Die Absender behaupten üblicherweise, die Empfänger bei ihren Online-Bewegungen beobachtet und bei schlüpfrigen Aktivitäten erwischt zu haben, die lieber im Privaten blieben. Im Klartext lauten die Behauptungen meist, dass potenzielle Opfer angeblich beim Anschauen pornografischen Materials erwischt wurden und es Aufnahmen davon gebe, was sie geschaut und dabei gemacht hätten.

Erpressung mit Zahlungsforderungen

Damit die Erpresser diese Aufnahmen nicht an die Leute auf der E-Mail- und Social-Media-Kontaktliste weiterverbreiten, sollen Empfänger ihnen Geld zahlen. Der Tonfall sei allgemein bedrohlich, manipulativ und darauf ausgerichtet, Angst und Dringlichkeit zu provozieren, erklären Malwarebytes Mitarbeiter. Das Unternehmen beobachte, dass diese E-Mails ein großes Problem darstellen, da tausende Besucher wöchentlich auf deren Webseite kommen und Informationen zu Sextortion-Mails suchen. Eine jüngst empfangene Mail fiel den IT-Forschern jedoch besonders auf.

Dort behaupten die Absender, den Empfängern von ihrem eigenen Microsoft-Konto aus die Mail zu senden. Dahinter verbirgt sich die einfache Möglichkeit, Absenderadressen zu fälschen. Der Mailtext macht Verweise auf die Pegasus-Spyware, von der die Opfer sicherlich gehört hätten, die auf Computern und Smartphones installiert werden kann und Hackern ermögliche, die Aktivitäten der Geräteinhaber zu verfolgen. Dabei erlaube die Spyware Zugriff auf Webcam, Messenger, E-Mails und so weiter; das sei auf Android, iOS, macOS und Windows lauffähig. Der Mailtext baut damit bereits Druck auf, dass eine Spyware auf irgendeinem Gerät des Opfers offenbar lauffähig sei.

Weiter behaupten die Täter, bereits vor einigen Monaten diese Spyware auf allen Geräten des Empfängers installiert und danach Einblick in alle Aspekte des Privatlebens erhalten zu haben. Besonders wichtig sei dem Erpresser jedoch, dass er viele Videos „von dir beim Selbstbefriedigen zu kontroversen Pornovideos“ gemacht habe. Nach einigen weiteren Volten im Text geht es um eine Ablasszahlung: Für 1650 US-Dollar in Litecoin (LTC), die Opfer auf die Kryptowallet des Betrügers transferieren sollen, lösche er alle Videos und deinstalliere die Pegasus-Spyware. Schließlich bauen die Betrüger zeitlichen Druck auf und geben den Opfern 48 Stunden Zeit.

Besonders falle die Preissteigerung ins Auge, erklärt Malwarebytes. Im April haben Betrüger mit derselben Masche noch 1200 US-Dollar verlangt, im Mai stieg die Forderung auf 1450 US-Dollar. Nun im Juni sind offenbar 1650 US-Dollar fällig. Die Autoren führen weiter aus, dass die Betrüger offenbar einen Preisfindungsprozess durchlaufen, wie er etwa in der Privatwirtschaft nicht unüblich ist. Möglicherweise seien die Betriebskosten gestiegen oder die Erpresser glauben, dass der Wert ihrer Bedrohung der Konsequenzen gestiegen sei.

Solche Erpressungsschreiben sollten Empfänger der Polizei melden. Sie sollten nicht auf enthaltene Links klicken oder Dateianhänge herunterladen.

Die kriminelle Energie und Kreativität der Täter bleiben auf hohem Niveau. In den USA schicken Kriminelle inzwischen gar Bilder aus der Umgebung der Opfer mit. Die Täter können sich jedoch nicht in falscher Sicherheit wiegen. In Australien wurde ein echter Sextortion-Erpresser gefasst und Mitte vergangenen Jahres zu 17 Jahren Haft verurteilt. Von 280 Fällen betrafen dort 180 Minderjährige.

(dmk)

Bestimmte Versionen von IBM WebSphere Application Server sind für Schadcode-Angriffe anfällig. Die Entwickler raten Admins, ihre Server mit verfügbaren vorläufigen Fixes zu schützen. Bislang gibt es keine Berichte, dass Angreifer die Schwachstelle bereits ausnutzen.

Systeme absichern

In einer Warnmeldung steht, dass entfernte Angreifer an der „kritischen“ Schwachstelle (CVE-2025-36038) ansetzen können. Aufgrund unzureichender Überprüfungen können sie im Kontext einer speziell gestalteten Sequenz von serialisierten Objekten Schadcode ausführen und Systeme kompromittieren.

Dafür sind den Entwicklern zufolge die Versionen 8.5 und 9.0 anfällig. Um PCs vor solchen Attacken zu schützen, sind bislang nur vorläufige Fixes verfügbar. Sicherheitsupdates sollen im dritten Quartal folgen.

(des)