Stimmen die Voraussetzungen, sind unbefugte Zugriffe auf verschiedene Firebox-Modelle von WatchGuard möglich. Admins sollten das verfügbare Sicherheitsupdate zeitnah installieren. Bislang gibt es keine Berichte, dass Angreifer Geräte über diesen Weg attackieren.

Instanzen vor möglichen Attacken schützen

In einer Warnmeldung führen die Entwickler aus, dass die Schwachstelle (CVE-2026-1498 „hoch“) Firewalls mit den Fireware-OS-Ausgaben 12.x, 12.5.x (Modelle T15 und T35) und 2025.1 bedroht. Der Beschreibung der Lücke zufolge können entfernte Angreifer ohne Authentifizierung an der LDAP-Authentifizierung ansetzen und auf eigentlich nicht einsehbare Informationen zugreifen. Verfügt ein Angreifer über eine gültige Passphrase eines legitimen Nutzers, kann er im Kontext einer Attacke als dieser Nutzer auf Instanzen zugreifen. Die Entwickler geben an, die Versionen 12.5.16, 12.11.7 und 2026.1 repariert zu haben.

Ende vergangenen Jahres sorgten Schadcode-Attacken auf WatchGuard-Firewalls für Schlagzeilen.

(des)

In einem weiteren Blog-Posting verspricht Microsoft, das Sicherheitsproblem NTLM aus der Welt zu schaffen. „Mit der nächsten Version von Windows Server“ soll es dann so weit sein; wann die erscheint, ist jedoch nach wie vor ungewiss. Aktuell ist NTLM zwar deprecated, aber nach wie vor in vielen Windows-Systemen aktiv und Administratoren müssen die davon ausgehenden Gefahren managen.

Die Sünden der Vergangenheit

NTLM ist ein seit Jahrzehnten veraltetes Authentifizierungsverfahren, dessen Sicherheitsprobleme altbekannt sind und immer noch etwa von Ransomware-Banden ausgenutzt werden, um sich den Zugang zu Konten mit höheren Rechten zu verschaffen. Insbesondere abgefangene NTLMv1-Hashes lassen sich leicht knacken – etwa mit den von Google bereitgestellten Rainbow-Tabellen. Außerdem lassen sich NTLM-Hashes auch für Pass-The-Hash-Attacken nutzen.

Trotzdem zögert Microsoft, das veraltete Protokoll komplett abzuschalten. Zu viele Systeme nutzen das Verfahren noch. Etwa weil sie keine direkte Verbindung zu einem Domain Controller haben, der für eine Kerberos-Authentifizierung nötig wäre. Oder weil es sich um lokale Accounts handelt oder NTLM fest verdrahtet („hard coded“) ist, erklärt Microsoft. Doch in der zweiten Hälfte des Jahres 2026 will man diese kritischen Punkte der Migration weg von NTLM aus der Welt geschafft haben. IAKerb, lokale Key Distribution Center und Updates zentraler Windows-Komponenten sollen es bis dahin richten.

Das Ende naht

Und dann soll es endlich so weit sein. Mit der nächsten großen Windows-Server-Version und den zugehörigen Windows-Clients will man NTLM standardmäßig deaktivieren, heißt es jetzt bei Microsoft. Ganz aus der Welt ist es damit jedoch weiterhin nicht, beugt man übertriebenen Erwartungen der Security-Community vor. Der NTLM-Code wird immer noch Teil von Windows bleiben und Admins werden das unsichere Protokoll somit reaktivieren können. Wann man diesen letzten Schritt der Ausmusterung von NTLM vollziehen will, dazu lässt sich der Konzern nicht weiter aus.

Wer für die Sicherheit von Windows-Netzen verantwortlich ist, sollte nicht auf dieses ungewisse Ende warten, sondern vielmehr sofort Maßnahmen ergreifen, um die von NTLM ausgehenden Gefahren einzuhegen. Wie das sinnvoll geht, erklärt etwa das heise security Webinar zum Thema Sicherheitslücken in NTLM und Kerberos verstehen und schließen. Denn auch den designierten NTLM-Nachfolger Kerberos plagen Sicherheitsprobleme, die Angreifer etwa beim Kerberoasting gezielt ausnutzen.

(ju)

Das Tails-Projekt hat die auf anonyme Bewegung im Netz spezialisierte Linux-Distribution in Version 7.4.1 herausgegeben. Es handelt sich um ein Notfall-Update zum Schließen einer kritischen Sicherheitslücke.

In der Versionsankündigung der Tails-Maintainer erklären sie, dass in der jüngsten Fassung insbesondere die eingesetzte OpenSSL-Bibliothekt auf aktuellen Stand 3.5.4 gebracht wurde. Die schließt die kürzlich bekannt gewordenen Sicherheitslücken in OpenSSL, von denen die gravierendste unauthentifizierten Angreifern etwa das Einschleusen von Schadcode ermöglicht. „Mithilfe dieser Schwachstellen könnten böswillige Tor-Relay-Server einen Tails-Benutzer deanonimisieren“, erklären die Autoren die potenziellen Auswirkungen der Sicherheitslücke. Sie ergänzen zudem, dass ihnen bislang keine Exploits der Schwachstellen in der Praxis zur Kenntnis gelangt sind.

Die Entwickler haben die Gelegenheit auch genutzt, weitere Softwarepakete der Distribution zu aktualisieren. Der Tor-Client ist in Version 0.4.8.22 an Bord und der Mail-Client Thunderbird auf dem Stand 140.7.0.

Tails 7.4.1: Gelöste und bekannte Probleme

Dabei haben sie ein Problem mit der Gmail-Authentifizierung in Thunderbird ausbügeln können. Beim Öffnen der WLAN-Einstellungen vom Tor-Verbindungsassistenten aus zeigt Tails nun einen drehenden Cursor als Feedback an, dass es gerade daran arbeitet.

Ein bekanntes Problem ist, dass die Homepage des Tor-Browsers fälschlicherweise behauptet, dass Tails 7.4 im Einsatz wäre, selbst nach der Aktualisierung auf Tails 7.4.1 Die Links auf die Release-Notes verweisen zudem ebenfalls noch auf die ältere Fassung. Im Zweifelsfall sollen Interessierte unter „Apps“ – „Tails“ – „About Tails“ (respektive „Über Tails“) aufrufen. Der Dialog zeigt korrekt die aktuell laufende Version an.

Die aktualisierte Tails-Fassung ist wie üblich als Abbild zum Verfrachten auf USB-Stick sowie als ISO-Image zum Brennen auf DVD oder Starten einer VM verfügbar.

Die Version 7.4 von Tails erschien Mitte Januar. Darin haben die Maintainer die Software auf den aktuellen Stand gebracht und kleine Ärgernisse korrigiert, die zwischenzeitlich auftreten konnten.

(dmk)