Ende Juni warnte Cisco erstmals vor den kritischen Sicherheitslücken CVE-2025-20281 und CVE-2025-20282 in der Identity Services Engine (ISE) und im ISE Passive Identity Connector (ISE-PIC). Mitte Juli kam mit CVE-2025-20337 eine dritte, verwandte Lücke hinzu.

Alle drei wurden mit dem höchstmöglichen Schweregrad (10.0, kritisch) eingestuft. Angreifer können sie missbrauchen, um aus dem Netz ohne vorhergehende Authentifizierung beliebige Befehle oder Schadcode ins Betriebssystem einzuschleusen und diese(n) dann im Kontext des root-Users auszuführen.

Nun hat das Unternehmen die Sicherheitsmitteilung zu den drei Schwachstellen nochmals aktualisiert: Das interne Product Security Incident Response Team habe aktive Angriffe in freier Wildbahn beobachtet.

Patches anwenden – und nochmal checken

Wer die verfügbaren ISE-Patches noch nicht angewendet hat, sollte das jetzt nachholen. Das Release 3.4 Patch 2 ist grundsätzlich nicht bedroht; für die verwundbaren Releases nebst verschiedenen Hotpatch-Konstellationen gibt Ciscos Advisory Update-Empfehlungen zum Absichern.

Seit Veröffentlichung der ersten Fassung der Sicherheitsmitteilung hat das Unternehmen nach eigenen Angaben verbesserte, abgesicherte Releases veröffentlicht. Somit sollten auch Nutzer, die bereits gepatcht haben, noch einmal einen Blick auf die aktualisierten Informationen werfen.

(ovw)

In Großbritannien soll es staatlichen Einrichtungen und Betreibern kritischer Infrastruktur verboten werden, nach einem Angriff mit Ransomware Lösegeld zu bezahlen. Unternehmen, die das nicht betrifft, sollen dazu verpflichtet werden, die Regierung zu informieren, bevor sie eine solche Zahlung tätigen. Das hat die Regierung angekündigt, nachdem der öffentliche Konsultationsprozess für die Maßnahme jetzt abgeschlossen wurde. Laut der Mitteilung haben sich fast drei Viertel der Beteiligten für die Pläne ausgesprochen. Ziel des Plans ist es, das Geschäftsmodell hinter den Ransomware-Attacken ins Visier zu nehmen und öffentliche Einrichtungen zu einem weniger interessanten Ziel zu machen.

Das Geschäft austrocknen

Das Verbot der Lösegeldzahlung würde demnach etwa für das staatliche Gesundheitssystem in Großbritannien, Kommunalverwaltungen und Schulen gelten, erklärt die Regierung. Unternehmen, die nicht darunter fallen und die eine Zahlung planen, sollen beraten und eventuell gewarnt werden, wenn sie damit möglicherweise gegen Sanktionen verstoßen würden. Das könnte der Fall sein, wenn das Geld an eine der vielen Ransomware-Gruppen geht, die aus Russland kommen. Zudem bereite man eine Berichtspflicht vor, die es den Strafverfolgungsbehörden erleichtern würde, gegen die Verantwortlichen solcher Schadsoftware vorzugehen.

In der Mitteilung drängt die Regierung die unterschiedlichen Organisationen im Land auch erneut, mehr für die Cybersicherheit zu tun. Dazu gehörten offline vorgehaltene Backups, Pläne für einen längeren Betrieb ohne IT und eine „gut eingeübte Praxis bei der Wiederherstellung von Daten aus Backups“. Cyberkriminalität, etwa mit Ransomware, habe Schäden in Milliardenhöhe verursacht und gefährde auch Menschenleben. Erst vor Kurzem wurde öffentlich gemacht, dass ein Cyberangriff erstmals zum Tod eines Menschen beigetragen hat. Der hatte nachweislich zu einer Verzögerung der Patientenversorgung und damit zu dem Todesfall geführt.

Lösegeldzahlungen nach Angriffen mit Ransomware sind 2024 merklich zurückgegangen, hat Anfang des Jahres ein Blockchain-Analysefirma ermittelt. Chainalysis hat dafür Maßnahmen von Strafverfolgungsbehörden, eine bessere internationale Zusammenarbeit und die häufigere Zahlungsverweigerung verantwortlich gemacht. Vor allem letztere möchte London nun weiter vorantreiben. Aber auch die geringe Zuverlässigkeit der Kriminellen hat wohl dazu beigetragen, die Opfer können einfach nicht davon ausgehen, dass sie nach der Zahlung ihre Daten zurückbekommen. Das war das Ergebnis einer Studie vor einem Jahr. In der hieß es damals auch, dass ein Verbot solcher Zahlungen bis dahin keinen merklichen Effekt gehabt hatte.

(mho)

Microsoft hat drei verschiedene Gruppen aus China ausgemacht, die aktuelle Toolshell-Angriffe auf Sharepoint-Server durchgeführt haben. Zwei dieser Gruppierungen stehen laut Softwarekonzern mit der chinesischen Regierung in Verbindung. Die Angreifer haben demnach die schwere Sicherheitslücke „Toolshell“ in selbst gehosteten Versionen von Microsoft Sharepoint ausgenutzt und könnten dabei sensible Daten und Kennwörter erbeutet sowie Zugriff auf angeschlossene Systeme erlangt haben.

Erst vor wenigen Tagen wurde diese zuvor unbekannte Sicherheitslücke in den On-Premise-Versionen von Sharepoint festgestellt, für die zunächst kein Patch verfügbar war. Mittlerweile hat Microsoft die ersten Patches für Toolshell veröffentlicht, doch offenbar wurden schon am Wochenende 100 Organisationen kompromittiert. Nach ersten Ermittlungen der Sicherheitsfirma Check Point waren Dutzende Regierungseinrichtungen sowie Telekommunikations- und Softwarefirmen in Nordamerika und Westeuropa Ziel dieser Attacken.

Chinesische Angreifer mit Peking-Verbindung

Zu den ersten Angreifern zählt Microsoft die beiden chinesischen Gruppen „Linen Typhoon“ und „Violet Typhoon“, die demnach von der Regierung in Peking unterstützt werden und die Schwächen in Sharepoint-Servern mit Internetverbindung ausgenutzt haben. Als weitere Gruppierung aus China nennt Microsoft „Storm-2603“, die entsprechende Toolshell-Angriffe durchgeführt haben. Die Untersuchungen dauern allerdings noch an, um weitere Angreifer identifizieren zu können. Microsoft rechnet mit weiteren Attacken auf nicht gepatchte Sharepoint-Systeme, sodass Updates dringlich eingespielt werden sollten.

Allerdings ist Patchen nicht genug nach Angriffen auf Microsoft Sharepoint. Denn gegen aktuelle Toolshell-Attacken könnte das Schließen der Lücken nicht ausreichen, wenn die Angreifer bereits in das System gelangt sind. Es ist deshalb unabdingbar festzustellen, ob tatsächlich ein Angriff erfolgte und vielleicht sogar Erfolg hatte. Microsoft empfiehlt zum Aufspüren den eigenen Defender Antivirus sowie das „Antimalware Scan Interface“ (AMSI), aber Anwender sollten zusätzlich die Maschinenschlüssel für ASP.NET der Sharepoint-Server ändern und die „Internet Information Services“ (IIS) neu starten.

US-Cybersicherheitsbehörde lobt Microsoft

Die Cybersicherheitsbehörde der USA, die CISA, hat die Sharepoint-Lücke mittlerweile in ihren Katalog bekannter und ausgenutzter Sicherheitslücken aufgenommen. Diese als CVE-2025-53770 geführte Schwachstelle ermöglicht das Ausführen von fremdem Code auf den angegriffenen Systemen. „Diese als ‚Toolshell‘ bezeichnete Angriffsaktivität ermöglicht unauthentifizierten Zugriff auf Systeme und ermöglicht böswilligen Akteuren den vollständigen Zugriff auf SharePoint-Inhalte, einschließlich Dateisystemen und internen Konfigurationen sowie die Ausführung von Code über das Netzwerk“, schreibt die CISA.

Gleichzeitig lobt die Cybersicherheitsbehörde den Softwarekonzern für die umgehend eingeleiteten Sofortmaßnahmen. „Microsoft reagiert schnell, und wir arbeiten mit dem Unternehmen zusammen, um potenziell betroffene Unternehmen über empfohlene Maßnahmen zu informieren“, heißt es weiter. „Die CISA empfiehlt allen Organisationen mit lokalen Microsoft SharePoint-Servern, die empfohlenen Maßnahmen umgehend zu ergreifen.“

(fds)