Connect with us

Datenschutz & Sicherheit

Def Con 34: Phishing as a Service – mit Microsoft


So einfach hat Keanu Nys von Spotit aus Belgien Microsofts Online-Login-Webseite umgebaut: Da Microsoft sein EntraID als universelles Login auch über verschiedene Tenants ermöglicht und das Password weiterhin als Klartext übermittelt, hat der Forscher aus dem offiziellen Login eine Phishing-Plattform gebaut, um an die Anmeldedaten von beliebigen Nutzern zu kommen.

Der Clou an der Sache: Durch die Möglichkeit, per CSS die Login-Page anzupassen und eigene Bilder einzublenden, kann man selbst MFA-Authentifizierungen problemlos erbeuten. Auch hier zeigt sich, dass Microsoft entschieden zu viele Kompromisse zuungunsten der Sicherheit und für mehr Features eingegangen ist, und dadurch das ganze MFA-System für Endanwender nicht identifizierbar beziehungsweise offen für Phishing-Angriffe gegen deren Microsoft ID gestaltet hat.

Konkret hat Nys in seiner Def-Con-Präsentation gezeigt, dass man durch eine schlichte CSS-Anpassung, eigene Fonts und das Einblenden von Bildern in die Login-Page den User aus dem Tenant einfach täuschen kann. Aus „micro-oft.com“ wird „microsoft.com“, indem man den Bindestrich im Font durch ein „s“ ersetzt.

Durch Pass Through Authentication (PTA) können Angreifer anschließend prüfen, ob die erbeuteten Zugangsdaten gültig sind, und sie eine Session-ID erbeutet haben, mit der sie alle Dienste des Tenant (M365, Storage und mehr) nutzen können. Selbst MFA stellt dabei keine Hürde dar: Man generiert einfach alle „99“ möglichen Anfragen vor, und kann diese dann über ein Image einbinden. Dafür benötigt man aber zwei Tenants.

Alle „Phishing-Versuche“ kommen dabei von der offiziellen Microsoft-Domain. Sie lassen sich also nicht durch Firewalls, DNS-Filter und vergleichbare Security-Maßnahmen aufhalten. Es fällt schwer, sich vorzustellen, wie Microsoft diese Angriffe unterbinden will. Der einzige Ausweg bleibt, etliche Funktionen hart abzustellen und endlich zu sicheren Funktionen überzugehen.


(fo)



Source link

Datenschutz & Sicherheit

Zoom: Windows-Clients ermöglichen Angriffe aus dem Netz


Zwei Sicherheitslücken meldet Zoom in den Windows-Clients. Sie ermöglicht Angreifern aus dem Netz ohne vorherige Anmeldung, ihre Rechte auszuweiten. Das Unternehmen stellt Aktualisierungen zur Verfügung, die die Schwachstellen ausbessern.

Die schwerwiegendere Sicherheitslücke stuft Zoom als kritische Bedrohung ein. Laut Sicherheitsmeldung von Zoom geht sie auf einen nicht vertrauenswürdigen Suchpfad zurück. „Das kann nicht authentifizierten Nutzern ermöglichen, eine Ausweitung ihrer Rechte über Netzwerkzugriffe auszuführen“, erörtern die Entwickler des Unternehmens dort (CVE-2025-49457 / EUVD-2025-24529, CVSS 9.6, Risiko „kritisch„). Details dazu, wie Angriffe aussehen könnten, nennen sie hingegen nicht.

Zudem haben die Entwickler eine Race Condition in der Software ausgebügelt. Etwas verschwurbelt formuliert Zoom in der zugehörigen Sicherheitsmitteilung, dass nicht authentifizierte Nutzer diese Schwachstelle im Installer bestimmter Zoom-Client für Windows die „Integrität mit lokalem Zugriff beeinflussen“ können (CVE-2025-49456 / EUVD-2025-24528, CVSS 6.2, Risiko „mittel„). Auch hier bleibt im Dunkeln, wie Angreifer diese Lücke konkret missbrauchen können.

Die kritische Sicherheitslücke dichtet die Version 6.3.10 von Zoom Workplace for Windows, Zoom Workplace VDI for Windows (hier sind die Versionen 6.1.16 und 6.2.12 nicht anfällig), Zoom Rooms for Windows, Zoom Rooms Controller for Windows und schließlich Zoom Meeting SDK for Windows ab. Die Race Condition bügeln die Versionen Zoom Workplace 6.4.10, Zoom Workplace VDI for Windows 6.3.12 (6.2.15 ist nicht verweundbar), Zoom Rooms und der Rooms Controller for Windows 6.4.5 sowie das Zoom Meeting SDK for Windows 6.4.10 aus.

Die aktuelle Software steht auf der Download-Seite von Zoom zum Herunterladen bereit. Aufgrund des Schweregrads sollten IT-Verantwortliche zeitnah auf die jüngste Fassung der Konferenzsoftware aktualisieren.

Zuletzt fielen im Mai Schwachstellen in Zoom-Webkonferenzsoftware auf. Auch dort konnten Angreifer aufgrund einer Race Condition ihre Rechte im System ausweiten.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Patchday: Mehrere Fortinet-Produkte sind angreifbar


Angreifer können Firewalls von Fortinet attackieren und darauf zugreifen. Überdies hat der Anbieter von IT-Sicherheitslösungen noch weitere Schwachstellen in verschiedenen Produkten geschlossen.

Am gefährlichsten gilt einer Warnmeldung zufolge eine „kritische“ Sicherheitslücke (CVE-2025-25256) in der IT-Sicherheitslösung FortiSIEM. An dieser Stelle können Angreifer ohne Authentifizierung mit präparierten CLI-Anfragen ansetzen, um Schadcode auszuführen. Aufgrund der Einstufung ist davon auszugehen, dass Angreifer nach einer erfolgreichen Attacke die volle Kontrolle erlangen.

Da der Support für FortiSIEM 5.x und bis einschließlich 6.6 ausgelaufen ist, bekommen diese Versionsstränge keine Sicherheitsupdates mehr. Gegen die beschriebene Attacke sind die Ausgaben 6.7.10, 7.0.4, 7.1.8, 7.2.6 und 7.3.2. FortiSIEM 7.4 soll nicht bedroht sein.

Wie ein Sicherheitsforscher in einem Beitrag schreibt, können Angreifer die Authentifizierung von FortiWeb-Firewalls umgehen. Die Schwachstelle steckt im Out-of-Band-Management-Zugriff (OOB) beim Umgang mit Cookies.

Der Beschreibung zufolge können Angreifer Server dazu zwingen, einen vorhersehbaren und somit nicht mehr geheimen Schlüssel für eine Session zu verwenden. Dafür müssen Angreifer Fortinet zufolge mit speziellen Anfragen an der Lücke ansetzen, um im Anschluss im Namen eines existierenden Nutzers auf die Firewall zuzugreifen.

FortiWeb 8.0 ist den Entwicklern zufolge davon nicht bedroht. Für 7.x.x-Ausgaben stehen die Sicherheitsupdates 7.0.11, 7.2.11, 7.4.8 und 7.6.4 zum Download bereit.

Weiterhin sind noch Attacken auf unter anderem FortiCamera, FortiMail und FortiPAM vorstellbar. An diesen Stellen können Angreifer etwa eigene Befehle ausführen oder auf eigentlich abgeschottete Daten zugreifen.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

WinRAR: Sicherheitslücke von zwei unterschiedlichen Gruppen attackiert


Anfang der Woche wurde bekannt, dass die WinRAR-Version 7.13 eine hochriskante Sicherheitslücke schließt, die das Einschleusen und Ausführen von Schadcode ermöglicht. Die Lücke haben zwei verschiedene kriminelle Gruppierungen bereits missbraucht, wie IT-Sicherheitsforscher nun mitteilen.

Die Mitarbeiter von Malwarebytes schreiben in einem Blog-Beitrag, dass zwei Cyberbanden unabhängig voneinander die Sicherheitslücke attackiert haben, als es noch kein Update zum Schließen davon gab – es sich also um einen Zero-Day handelte. Es handelt sich um eine „Path Traversal“-Schwachstelle, die Zugriffe auf eigentlich nicht zugängliche Verzeichnisse ermöglicht. Angreifer können mit manipulierten Archivdateien den Fehler provozieren und dadurch beliebigen Code einschleusen und ausführen, sofern Opfer manipulierte Archive mit verwundbaren WinRAR-Versionen entpacken (CVE-2025-8088 / EUVD-2025-23983, CVSS 8.4, Risiko „hoch„).

Bislang hatte das IT-Sicherheitsunternehmen Eset von Spearphishing-E-Mails mit Dateianhängen im RAR-Format berichtet. Diese sorgsam präparierten Archive haben die Schwachstelle missbraucht, um „RomCom“-Backdoors zu installieren. Hinter RomCom steckt eine mit Russland verbandelte Cyberbande, die auch mit den Namen Storm-0978, Tropical Scorpius oder UNC2596 bekannt ist. Sie soll auf Ransomware, Datenklau-Angriffe und Kampagnen zum Stehlen von Zugangsdaten spezialisiert sein.

Laut Malwarebytes fanden diese Angriffe zwischen dem 18. und 21. Juli 2025 statt und hatten Organisationen aus den Bereichen Produktion, Verteidigung und Logistik insbesondere in Europa und Kanada zum Ziel. In den Phishing-Mails gaben die Angreifer sich als Bewerber um einen Arbeitsplatz aus, deren vermeintliche Bewerbungsunterlagen in den Dateianhängen der E-Mails steckten.

Eine zweite Cyberbande mit dem Namen „Paper Werewolf“ hat die Sicherheitslücke ebenfalls missbraucht, berichtet Malwarebytes. Sie richtete ihre Angriffe jedoch gegen russische Einrichtungen. Anfang Juli haben IT-Forscher demnach diese gezielte Phishing-Kampagne entdeckt. Die Angreifer gaben sich als Angestellte eines russischen Forschungsinstituts aus und hängten einen vermeintlichen Brief von einem Ministerium an die E-Mails. Malwarebytes geht davon aus, dass weitere Kriminelle aufspringen und versuchen werden, die Sicherheitslücke zu missbrauchen.

Am Montag dieser Woche wurde klar, dass das Update auf WinRAR 7.13 die bereits attackierte Sicherheitslücke abdichtet. Die älteren Fassungen von RAR, UnRAR, portable UnRAR (Quelltext) und UnRAR.dll sind für die Schwachstelle anfällig. Die Unix- und Android-Versionen sind hingegen nicht betroffen. Wer WinRAR einsetzt, sollte unbedingt auf die jüngste Fassung der Archivsoftware aktualisieren.


(dmk)



Source link

Weiterlesen

Beliebt