Connect with us

Datenschutz & Sicherheit

Microsofts Sharepoint-Lücken: Die Zero-Days, die vielleicht gar keine waren


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die als Zero-Day-Angriffe gemeldeten Angriffe auf Sharepoint waren vielleicht gar keine echten Zero-Days. Vielmehr richteten sie sich gegen bereits bekannte Schwachstellen, für die Microsoft zuvor am 8. Juli einen Patch veröffentlicht hatte. Ob deren Installation allerdings gegen die Angriffe geschützt hätte, bleibt weiter offen.

Doch der Reihe nach: Zum monatlichen Patchday, am 8. Juli, veröffentlichte Microsoft Patches zu zwei Lücken in on-premises-Installationen von MS Sharepoint, die die Lücken CVE-2025-49706 + CVE-2025-49704 schließen sollten. Am 19. Juli vermeldete Microsoft unter der Überschrift „Kundenhinweise zur SharePoint-Schwachstelle CVE-2025-53770“ aktive Angriffe auf Sharepoint, gegen die dann etwas später die neuen Patches gegen Lücken mit dem Bezeichner CVE-2025-53770 und CVE-2025-53771 veröffentlicht wurden. Fortan ging alle Welt und auch heise online davon aus, dass es Zero-Day-Angriffe gegen die neuen 53770*-Lücken gab.

Mangelhafte Patches

Nun stellt sich heraus, dass die Angriffe ab dem 17. Juli sich gegen die Patchday-Lücken CVE-2025-49706 und CVE-2025-49704 richteten, wie etwa eye Security einräumt. Allerdings ergaben genauere Untersuchungen der Patchday-Updates, dass Microsofts Sicherheitsflicken sehr stümperhaft gemacht waren und sich trivial umgehen ließen. So demonstrierte Kaspersky, dass man den Patch gegen CVE-2025-49706 durch das einfache Einfügen eines / in eine URL umgehen konnte.



So einfach ließ sich Microsofts Patch umgehen: das zusätzliche „/“ löste den Fehler CVE-2025-49706 trotz Patch wieder aus

(Bild: Kaspersky)

Microsoft sagt auch an keiner Stelle, dass nur ungepatchte Systeme den Angriffen zum Opfer gefallen wären. Die Firma räumt sogar selbst ein: „Microsoft sind aktive Angriffe bekannt, die […] Sicherheitslücken ausnutzen, die teilweise durch das Sicherheitsupdate vom Juli behoben wurden.“ (Hervorhebung durch die Redaktion). Es ist also nach aktuellem Kenntnisstand möglich, dass die Angriffe sich zwar gegen die 4970*er-Lücken richteten, aber bereits etwas wie den zusätzlichen / enthielten, um die Patches wirkungslos zu machen.

Neue Patches nach Angriffen

Jedenfalls schob Microsoft ab dem 20. Juli verbesserte Updates nach, die die Lücken nachhaltiger schließen. Statt bösartige URLs zu filtern, was sich leicht umgehen lässt, arbeitet der Patch CVE-2025-53770 jetzt mit White-Lists erlaubter URLs. Damit schließt der Patch offenbar die Lücken CVE-2025-49706 und CVE-2025-53771. Was genau es mit diesem CVE-2025-53771 genau auf sich hat, ist allerdings nach wie vor unklar. Denn Microsoft liefert lediglich sehr vage Schwachstellenbeschreibungen. Ähnliches gilt analog auch für CVE-2025-53770.

Sollten die Angriffswellen ab dem 17. Juli auch gegen Systeme auf aktuellem Patch-Stand funktioniert haben, wären das nach wie vor Zero-Day-Attacken gewesen. Denn die betroffenen Microsoft-Kunden hatten keine Chance, sich effektiv zu schützen. Dieser Unterschied hat auch jenseits der Wortklauberei ganz praktische Bedeutung: Denn in diesem Fall müssten alle Microsoft-Kunden davon ausgehen, dass ihr Server möglicherweise kompromittiert wurde, auch wenn die verfügbaren Patches alle bereits eingespielt waren. Und das hat massive Konsequenzen für die damit anstehenden Maßnahmen.

Das Wichtigste kompakt

Wer jetzt bei den vielen CVEs und Updates den Überblick verloren hat und nicht mehr weiß, was Sache ist, befindet sich in guter Gesellschaft. Das Ganze ist ein schrecklicher Verhau von Informationsbröckchen, aus denen auch wir in stundenlangen Diskussionen kein schlüssiges Gesamtbild zusammenbauen konnten. Deshalb hier noch einmal eine Zusammenfassung der für Verteidiger wichtigen Fakten und was zu tun ist:

Microsofts Sharepoint wies mehrere kritische Lücken auf, die es erlaubten, den on-premises-Server zu kompromittieren. Um sich dagegen abzusichern, sollten Admins die Patches gegen CVE-2025-53770 und CVE-2025-53771 installieren, die alle bekannten Lücken zuverlässig schließen. Außerdem sollten sie die von Microsoft beschriebenen, vorbeugenden Maßnahmen durchführen und insbesondere den IIS-MachineKey neu erstellen. Sonst könnten Angreifer nach wie vor Zugriff auf ihren Server erlangen, weil sie den alten bereits vor dem Einspielen des Patches gestohlen haben.

Darüber hinaus wäre es überaus hilfreich, wenn sich Microsoft dazu durchringen könnte, für mehr Klarheit zu sorgen. Dazu gehören unter anderem klare Aussagen zu folgenden offenen Punkten:

  • Gab es erfolgreiche Angriffe gegen Systeme, die die Updates vom Patchday zeitnah bekommen hatten?
  • Welche Schwachstellen stehen genau hinter den jeweiligen CVEs? Am besten mit konkreten Referenzen auf den verwundbaren Code.
  • Warum liefert Microsoft für kritische Lücken nach einer Vorlaufzeit von fast zwei Monaten Patches aus, die sich trivial umgehen lassen?


(ju)



Source link

Verwandte Themen:
Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

Sicherheitsupdates: IBM Db2 über verschiedene Wege angreifbar


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Aufgrund von mehreren Softwareschwachstellen können Angreifer IBM Db2 attackieren und Instanzen im schlimmsten Fall vollständig kompromittieren. Um dem vorzubeugen, sollten Admins die abgesicherten Versionen installieren.

Schadcode-Schlupfloch

Am gefährlichsten gilt eine Sicherheitslücke (CVE-2025-33092 „hoch„), durch die Schadcode schlüpfen kann. Die Basis für solche Attacken ist ein von Angreifern ausgelöster Speicherfehler. Wie ein solcher Angriff konkret ablaufen könnten, ist bislang unklar. Davon sind einer Warnmeldung zufolge die Client- und Server-Editionen von Db2 bedroht. Das betrifft die Db2-Versionen 11.5.0 bis einschließlich 11.5.9 und 12.1.0 bis einschließlich 12.1.2.

Um Systeme gegen die geschilderte Attacke zu rüsten, müssen Admins in der Warnmeldung verlinkte Special Builds installieren.

Eine weitere Schwachstelle (CVE-2025-24970) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Sie betrifft das Application Framework Netty. An dieser Stelle können Angreifer Abstürze provozieren. Auch hier soll ein Special Build Abhilfe schaffen.

Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad „mittel“ versehen. An diesen Stellen können Angreifer meist ohne Authentifizierung DoS-Zustände erzeugen, was Abstürze nach sich zieht. Die dagegen gerüsteten Versionen finden Admins in den verlinkten Warnmeldungen (nach Bedrohungsgrad absteigend sortiert):


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

WordPress Theme Alone: Mehr als 120.000 Angriffsversuche dokumentiert


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Eine Sicherheitslücke im WordPress-Theme Alone macht damit ausgestattete Websites verwundbar. Angreifer nutzen die „kritische“ Lücke bereits aus und führen Schadcode aus. Eine dagegen abgesicherte Version steht zum Download bereit.

Vor den Attacken warnen Sicherheitsforscher von Wordfence in einem Beitrag. Sie geben an, in der Spitze mehr als 120.000 Angriffsversuche beobachtet zu haben. Setzen Angreifer erfolgreich an der Sicherheitslücke (CVE-2025-5394) an, können sie ohne Authentifizierung aufgrund von mangelnden Überprüfungen Zip-Dateien mit Schadcode hochladen und ausführen.

Die Forscher erläutern, dass Angreifer versuchen, mit Schadcode verseuchte Plug-ins auf erfolgreich attackierten Websites zu installieren, um Hintertüren einzurichten. Admins sollten also nach ihnen unbekannten Plug-ins Ausschau halten.

Die Entwickler geben an, das Sicherheitsproblem in Alone – Charity Multipurpose Non-profit WordPress Theme 7.8.5 gelöst zu haben.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Wir veröffentlichen das neue Bundespolizei-Gesetz


Die Bundesregierung plant ein neues Gesetz für die Bundespolizei. Das Bundesinnenministerium hat einen Gesetzentwurf erarbeitet und an Verbände geschickt. Wir veröffentlichen das 170-seitige Dokument als PDF: Entwurf eines Gesetzes zur Modernisierung des Bundespolizeigesetzes.

Das neue Gesetz soll das aktuelle Bundespolizeigesetz vollständig ersetzen. Das ist aus dem Jahr 1994 und damit laut Bundesregierung veraltet. Das neue Bundespolizeigesetz gibt der größten deutschen Polizei „zeitgemäße und moderne“ sowie „zusätzliche und neue Befugnisse“.

Staatstrojaner und Quellen-TKÜ plus

Das Gesetz erlaubt der Bundespolizei erstmals die Überwachung von Telekommunikation. Die Polizei soll Personen präventiv überwachen, um Gefahren abzuwehren – auch wenn „noch kein Tatverdacht begründet ist“.

Die Befugnis ermöglicht nicht nur klassische Telefon-Überwachung, sondern auch den Einsatz von Staatstrojanern. Die Polizei soll Smartphones und Computer hacken und infizieren, um verschlüsselte Kommunikation „wie beispielsweise Skype oder Whatsapp“ auszuleiten.

Laut Gesetzentwurf soll die Bundespolizei dabei auch auf gespeicherte Daten zugreifen. Im Koalitionsvertrag haben Union und SPD vereinbart, den „Zugriff auf retrograd gespeicherte Daten“ nicht zu erlauben. Gegen diese „Quellen-TKÜ plus“ laufen mehrere Verfassungsbeschwerden.

Fluggastdaten ohne Anordnung

Seit 2017 müssen Fluglinien sämtliche Passagierdaten von Flügen aus oder nach Deutschland an das Bundeskriminalamt übermitteln, das sie in einer Datenbank speichert und rastert. Die Bundespolizei kann Fluglinien anordnen, ihr Passagierdaten von Flügen über die Schengen-Außengrenzen zu übermitteln.

Das neue Gesetz verpflichtet Fluglinien, sämtliche Passagierdaten von Flügen über die Schengen-Außengrenzen an die Bundespolizei zu schicken. Eine Anordnung ist nicht mehr nötig. Laut Innenministerium entfallen damit „aufwendige Verwaltungs-(streit-)verfahren und der Aufwand für die Identifizierung von Risikoflugstrecken“.

Wegfall der Errichtungsordnung

Wenn die Bundespolizei eine „automatisierte Datei mit personenbezogenen Daten“ anlegt, muss sie bisher eine Errichtungsanordnung erstellen. Das Bundesinnenministerium muss zustimmen, die Bundesdatenschutzbeauftragte wird angehört.

Das neue Gesetz streicht die Errichtungsordnung. Laut Innenministerium führt das „zur effizienteren und bürokratiearmen Wahrnehmung polizeilicher Arbeit“. Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert das als „Wegfall eines wichtigen datenschutzrechtlichen Kontrollinstruments“.

Zusätzliche, neue Befugnisse

Der Gesetzentwurf umfasst eine ganze Reihe neuer Befugnisse. Die Bundespolizei soll Bestands-, Nutzungs- und Verkehrsdaten erheben, eigene Drohnen fliegen und fremde Drohnen abwehren, stille SMS verschicken, IMSI-Catcher einsetzen sowie Meldeauflagen und Aufenthaltsverbote aussprechen.

Zudem weitet das Gesetz existierende Befugnisse weiter aus. Das betrifft beispielsweise das Filmen mit Bodycams, das Scannen von Kfz-Kennzeichen, den Einsatz von V-Personen und Verdeckten Ermittlern sowie eine DNA-Datenbank.

Keine Kennzeichnung, keine Quittung

Schon die Ampel-Regierung wollte das Bundespolizeigesetz reformieren. Ende 2023 hatte sie einen eigenen Entwurf beschlossen. Im Bundestag haben Abgeordnete und Sachverständige diesen Entwurf kritisiert.

Die Ampel wollte eine pseudonyme Kennzeichnung von Polizisten einführen, um „polizeiliches Handeln für alle Bürger:innen transparenter zu machen“. Zudem sollten sich kontrollierte Personen „Kontrollquittungen ausstellen lassen“, um „das Vertrauen in die Arbeit der Sicherheitsbehörden zu stärken“. Beide Ideen hat die aktuelle Regierung wieder gestrichen.

In Richtung autoritärer Kontrolle

Das Gesetz ist aktuell ein Referentenentwurf des Bundesinnenministeriums. Das Ministerium hat den Entwurf Ende letzter Woche an Länder und Verbände geschickt. Die dürfen jetzt Stellungnahmen abgeben – bis Ende nächster Woche. Zwei Wochen für 170 Seiten – in Ferien und Sommerpause.

Die innenpolitische Sprecherin der Linken im Bundestag Clara Bünger kritisiert gegenüber netzpolitik.org: „Die Pläne der Bundesregierung zur Ausweitung der Befugnisse der Bundespolizei sind ein klarer Schritt in Richtung autoritärer Kontrolle. Statt mehr Überwachung und weniger Transparenz brauchen wir eine stärkere demokratische und justizielle Kontrolle der Polizei.“



Source link

Weiterlesen

Beliebt