Hunderttausende Zertifikate widerrufen zu müssen, ist immer bitter. Aber ganz besonders schmerzt es, wenn die Zertifikate an sich technisch und formal fehlerfrei sind – und dennoch nicht valide. Im Podcast erklärt Christopher, warum die Schweizer Zertifizierungsstelle SwissSign fast eine halbe Million S/MIME-Zertifikate widerrufen musste und, wo er gerade schon dabei ist, mit welchen Zertifikatsproblemen D-Trust sich weiter herumschlägt. Sylvester hingegen greift Googles per Zero-Knowledge-Proof belegten Fortschritt beim Knacken von Verschlüsselungen mittels Quantencomputern abermals auf. Denn der Fortschritt dürfte zwar real sein, doch der Beweis war fehlerhaft. Schlaue Leute bei Trail of Bits nutzten das, um einen eigenen, noch größeren – aber eben fingierten – Fortschritt zu „beweisen“. Ein schönes Lehrstück über die Stärken und Schwächen von Zero-Knowledge-Proofs.

Im weiteren Verlauf der Folge geht es um das „Vulnrichtment“ des NIST, also das Anreichern von Schwachstellen-IDs, den CVE-Nummern, mit weiterführenden Informationen. Das NIST sieht sich der CVE-Flut nicht mehr gewachsen und filtert nun mit einer – für die Hosts nur teilweise nachvollziehbaren – Liste an Kriterien, welche CVEs sie mit nützlichen Informationen ergänzt und welche nicht. „Not scheduled“ ist das eher euphemistische Label für diesen Status.

Daneben räumt die Folge mit erfreulich viel Hörer-Feedback zu verschiedensten Themen auf: Ein vim-Maintainer berichtete den Hosts, wie KI-generierte Bug-Reports ihm den Urlaub ruinierten; ein weiterer erklärte den beiden, was ein PLM-System (Product Lifecycle Management) eigentlich tut und warum es oft nicht isoliert und gut geschützt betrieben wird. Außerdem geht es um Tücken beim Betrieb von Mailservern, Tücken beim Lesen von (HTML-)Mails, Tücken beim Fluchen in Podcasts und einige weitere Themen.

Die aktuelle Folge von „Passwort – der Podcast von heise security“ steht seit Mittwochmorgen auf allen Plattformen zum Anhören bereit.

(syt)

Die Justiz in Chicago hat Anklage gegen ein 19-jähriges Mitglied der berüchtigten kriminellen Gruppierung „Scattered Spider“ erhoben, nachdem der als „Bouquet“ bekannte Peter S. kürzlich in Finnland verhaftet wurde. Die USA verlangen die Auslieferung des Teenagers, der die doppelte Staatsbürgerschaft der USA und Estlands besitzt. Dem 19-Jährigen wird vorgeworfen, an verschiedenen Ransomware-Erpressungen beteiligt gewesen zu sein, die große Unternehmen Millionen US-Dollar gekostet haben, wie eine US-amerikanische Tageszeitung berichtet.

Das Cybercrime-Kollektiv „Scattered Spider“ besteht aus einer losen Gruppe von britischen und US-amerikanischen Cyberkriminellen, die vorwiegend „Social Engineering“ nutzen, um an Zugangsdaten zu geschlossenen Netzwerken zu gelangen, daraufhin Daten abgreifen und die Organisationen damit schließlich erpressen. Die Gruppe wurde 2023 bekannt durch die Casino-Angriffe auf MGM und Caesars. Es folgte ein Datendiebstahl bei der US-Tochter der Allianz Versicherung. Letztes Jahr wurden der Gruppe ein Cyberangriff auf Marks & Spencer sowie der IT-Angriff auf Jaguar Land Rover zugeschrieben.

Hackerkarriere begann mit 16

Doch der verdächtigte Teenager war auch an zahlreichen anderen Cyberangriffen beteiligt, schreibt die Chicago Tribune, denen Unterlagen der Anklage vorliegen. Demnach war Bouquet in mindestens vier größere Aktionen der Hackergruppe involviert, die zu Lösegeldzahlungen der erpressten Unternehmen in Millionenhöhe geführt haben. Dazu gehört eine Attacke auf eine nicht genannte Online-Kommunikationsplattform im März 2023, als Peter S. erst 16 Jahre alt war.

Im Mai 2025 soll Bouquet einen Cyberangriff auf einen ungenannten milliardenschweren „Luxusartikelhändler“ unterstützt haben. Dabei haben sich die Angreifer telefonisch beim IT-Helpdesk als Mitarbeiter ausgegeben, um Anmeldeinformationen zurückzusetzen. Damit erlangten sie Zugriff auf Zugangskonten von Systemadministratoren und konnten Daten abgreifen. Beim anschließenden Erpressungsversuch verlangte die Gruppe 8 Millionen Dollar, da sie 100 Gigabyte Daten gestohlen hätten. Die wochenlangen Verhandlungen hat die nur „Unternehmen F.“ genannte Firma schließlich abgebrochen und das Lösegeld nicht bezahlt, aber der Cyberangriff hat den Händler laut Anklage trotzdem mehr als 2 Millionen Dollar aufgrund der Betriebsstörungen und einer Sanierung des Systems gekostet.

Verhaftung nach Luxus-Lebensstil

Die Ermittler sind dem Verdächtigten wohl aufgrund seines ausschweifenden Lebensstils auf die Schliche gekommen, der ihn laut Zeitung von Dubai über Thailand und Mexiko nach New York geführt hat, wo er in Luxushotels nächtigte und Kreditkarten, Geldscheine und Schmuckstücke präsentierte. Das soll auf Bildern zu sehen sein, die er auf Facebook und Snapchat gepostet haben soll. Am 10. April wurde der heute 19 Jahre alte Peter S. am Flughafen von Helsinki verhaftet.

Bouquet ist nicht das erste Mitglied von „Scattered Spider“ (auch bekannt als „Octo Tempest“, „Starfraud“ und „UNC3944“), das verhaftet worden ist. Anfang dieses Monats hat sich der 24-jährige Tyler Robert B., ein britischer Staatsbürger und vermeintlich einer der führenden Mitglieder der kriminellen Gruppe, in Kalifornien schuldig bekannt, mit Textnachrichten Phishing-Angriffe auf US-Unternehmen durchgeführt zu haben und insgesamt mindestens 8 Millionen Dollar von verschiedenen Individuen gestohlen zu haben.

(fds)

Microsoft will im Enterprise-Umfeld helfen, die Maschinen mit ablaufenden Secure-Boot-Zertifikate aus dem Jahr 2011 zu identifizieren. Einige Hilfestellung für Netzwerke gab es bereits, nun soll auch der Microsoft Defender helfen, betroffene Geräte aufzuspüren und auf den aktuellen Stand zu bringen.

Im Message-Center der Windows-Release-Health-Notizen hat Microsoft jetzt die neue Funktion für den Microsoft Defender angekündigt. Es handelt sich um ein Dashboard, von dem aus IT-Verantwortliche in Netzen den Sicherheitsstatus ihrer betreuten Geräte einsehen können. Jetzt können IT-Teams an zentraler Stelle die Verbreitung der Secure-Boot-Zertifikate aus dem Jahr 2023 in ihrem Gerätepark einsehen, erklärt das Unternehmen. Ein Blog-Eintrag in der Techcommunity geht etwas detaillierter darauf ein.

Auswirkungen abgelaufener Secure-Boot-Zertifikate

Microsoft erklärt dort, dass Secure Boot die Integrität des Boot-Prozesses eines Geräts sicherstellt, indem nur vertrauenswürdige Software gestartet wird. Sofern Geräte keine neuen Zertifikate erhalten, können sie nicht in den Genuss neuer Sicherheitsmaßnahmen für den frühen Startvorgang kommen. Die Geräte starten weiterhin, können aber keine neueren Schutzmaßnahmen in der frühen Startphase des Systems mehr erzwingen. Im Verlauf der Zeit schwäche das die „Root of Trust“ des Geräts und setzt sie neuen Klassen von Angriffen aus, die vor dem Laden des Betriebssystems und der vollständigen Sicherheitskontrollen aktiv werden.

Konkret könnten bösartige oder manipulierte Boot-Komponenten nicht mehr zuverlässig blockiert werden, wenn sie nicht mit vertrauten Zertifikaten signiert sind. Geräte könnten nicht in der Lage sein, neue Secure-Boot-Richtlinien zu übernehmen, die vor neu entdeckten Bedrohungen beim Bootvorgang schützen sollen. Außerdem können Angreifer zur Startzeit Techniken zur Erlangung von Persistenz einsetzen, bevor traditionelle Sicherheitskontrollen greifen.

Um das zu verhindern, sollen IT-Verantwortliche einen Überblick erhalten, welche Geräte bereits erfolgreich das Update absolviert haben und welche Geräte noch Aufmerksamkeit diesbezüglich benötigen. Im Microsoft-Defender-Dashboard haben die Entwickler daher eine neue Empfehlung (Recommendations) eingebaut. Die unterteilt die Geräte in drei Klassen: „Exposed Devices“ vertrauen noch den alten Secure-Boot-Zertifikaten, ohne Vertrauen in die neueren Zertifikate. „Compliant Devices“ haben die neuen 2023er-Zertifikate und den signierten Boot-Manager. „Not applicable Devices“ hingegen haben Secure Boot deaktiviert oder unterstützen es nicht.

Aus dieser Empfehlungsansicht heraus können Admins sich „Exposed Devices“ genauer ansehen und herausfinden, welche Systeme noch Aufmerksamkeit benötigen. Filter lassen sich nach Betriebssystemplattform und Gerätekontext anwenden, um die Gegenmaßnahmen besser zu priorisieren. Die Gerätedaten lassen sich zudem exportieren, um sie mit Infrastruktur- und Plattform-Teams zu teilen. Natürlich lässt sich der Verteilungsprozess der Secure-Boot-Zertifikate damit überwachen. Microsoft schreibt nichts dazu, ob das mit Zusatzkosten verbunden ist.

Microsoft deckt damit nun unterschiedliche Netzwerkdimensionen ab. Auf den einzelnen Rechner hilft etwa die Windows-Sicherheits-App, den Status der Secure-Boot-Zertifikate auf der konkreten Maschine einzusehen. IT-Verantwortliche müssen insbesondere auf Windows-Servern jedoch selbst aktiv werden, dort verteilt Microsoft die neuen Zertifikate nicht mit automatischen Windows-Updates. Dass die Zertifikate auslaufen, darauf hat Microsoft bereits seit Juni 2025 aufmerksam gemacht. Die Vorbereitungen sollten Admins nun abschließen und zügig an die Verteilung der neuen Secure-Boot-Zertifikate gehen.

(dmk)