Admins und Nutzer sollten Ausschau nach Aktualisierungen für diverse Softwarepakete halten. Die libssh2-Bibliothek, die weit verbreitet zum Einsatz kommt, enthält eine kritische Sicherheitslücke. Ein veröffentlichter Proof-of-Concept-Exploit vereinfacht deren Ausnutzung durch bösartige Akteure deutlich.

Im Schwachstelleneintrag hat die US-amerikanische IT-Sicherheitsbehörde CISA inzwischen die freie Verfügbarkeit des Proof-of-Concept-Exploits ergänzt. Die Sicherheitslücke basiert auf einer nicht erfolgten Begrenzung des „packet_length“-Feldes bei der Verarbeitung in der Funktion ssh2_transport_read(). Angreifer aus dem Netz können das missbrauchen, um mit übermäßig großen „packet_length“-Werten in manipulierten SSH-Paketen den Speicher auf dem Heap durcheinander zu bringen und dabei das Ausführen von eingeschleustem Code zu provozieren (CVE-2026-55200, CVSS 9.8, Risiko „kritisch“).

Wenn Angreifer Opfer dazu bringen, sich mit ihrer Client-Software mit manipulierten Servern zu verbinden, können sie ihnen damit Schadcode unterjubeln. Projekte wie curl, PHP, libgit2 und diverse weitere setzen libssh2 ein. libssh2 ist bis einschließlich Version 1.11.1 anfällig. Noch immer ist das die letzte verfügbare offizielle Version, der Patch ist derzeit lediglich als Quellcode-Commit verfügbar. Diverse Linux-Distributionen stellen jedoch aktualisierte Pakete mit eigenen Backports bereit.

Zügig aktualisieren

Unter Linux sollte also das Aufrufen der Softwareverwaltung und die Installation der angebotenen Aktualisierungen zum Ziel führen. Etwa unter Windows wird das jedoch schwieriger. Die offiziellen curl-Binaries für Windows 8.21.0_2 vom 24. Juni 2026 sind etwa noch statisch mit libssh2 1.11.1 verlinkt, die die Sicherheitslücke aufweist. Zwar macht das curl-Team im „Sommer der Glückseligkeit“ Urlaub – allerdings dürfte der Bedarf nach einer Aktualisierung seitens der zahlenden Supportkunden nun wachsen und in Kürze eine Aktualisierung bereitstehen.

Die Sicherheitslücke und eine weitere in libssh2 wurden in der vergangenen Woche bekannt. Seitdem steht lediglich der Commit im Quellcode bereit, ein offizielles neues Paket mit dem Update steht seitdem noch aus.

(dmk)

Die Linux Foundation hat gemeinsam mit zahlreichen Tech-Unternehmen und Finanzinstituten die Initiative Akrites gestartet. Ziel ist es, den Umgang mit Sicherheitslücken in wichtiger Open-Source-Software zentral zu koordinieren, sie vertraulich mit den jeweiligen Projektverantwortlichen zu beheben und erst anschließend offenzulegen. Hintergrund ist die wachsende Sorge, dass moderne KI-Modelle Schwachstellen deutlich schneller finden als bisher und damit den Zeitdruck für Verteidiger erheblich erhöhen.

Zu den Gründungsmitgliedern gehören unter anderem Amazon Web Services, Anthropic, Cisco, Google, IBM, Microsoft, GitHub, Nvidia, OpenAI, Red Hat sowie JPMorganChase, Citi und Vodafone. Die beteiligten Unternehmen wollen Personal, Sicherheitswissen und finanzielle Mittel bereitstellen.

Reaktion auf KI-gestützte Schwachstellenanalyse

Nach Angaben in der Ankündigung der Linux Foundation verändert generative KI die Sicherheitslandschaft grundlegend. Während die Suche nach schwerwiegenden Sicherheitslücken bislang viel Fachwissen und oft Wochen an Analyse erforderte, könnten leistungsfähige KI-Modelle große Open-Source-Projekte inzwischen innerhalb weniger Minuten auf potenzielle Schwachstellen untersuchen. Dadurch verkürze sich die Zeit zwischen dem Auffinden einer Lücke und ihrer möglichen Ausnutzung erheblich.

Akrites soll diese Entwicklung mit einem gemeinsamen Sicherheitsprozess beantworten. Statt dass mehrere Unternehmen dieselbe Schwachstelle unabhängig voneinander melden oder unterschiedliche Patches entwickeln, bündelt die Initiative die Koordination. Kern des Projekts sind ein gemeinsames Security Incident Response Team (SIRT) sowie ein einheitlicher Prozess zur koordinierten Offenlegung von Sicherheitslücken (Coordinated Vulnerability Disclosure, CVD). Die beteiligten Organisationen wollen bestätigte Schwachstellen gemeinsam mit den Upstream-Maintainern beheben, bevor Details veröffentlicht werden.

Maintainer sollen entlastet werden

Ein Schwerpunkt liegt auf der Zusammenarbeit mit den Entwicklern der betroffenen Open-Source-Projekte. Laut Linux Foundation sollen Fehlerbehebungen grundsätzlich in die Originalprojekte zurückfließen. Maintainer behalten die Kontrolle über ihre Projekte und sollen nicht mit mehrfachen oder widersprüchlichen Sicherheitsmeldungen belastet werden.

Für Pakete, die nicht mehr aktiv gepflegt werden, sieht Akrites zudem eine Rolle als „Maintainer of Last Resort“ vor. In solchen Fällen soll die Initiative Korrekturen für aktuelle Versionen bereitstellen, damit kritische Sicherheitslücken auch dann geschlossen werden können, wenn ursprüngliche Entwickler nicht mehr verfügbar sind.

Aufbau auf bestehenden Sicherheitsstandards

Technisch setzt Akrites auf etablierte Verfahren und Standards der IT-Sicherheitsbranche. Dazu zählen unter anderem CVE zur Identifikation von Schwachstellen, CVSS zur Bewertung ihrer Schwere sowie CWE zur Klassifizierung von Schwachstellentypen. Dadurch soll sich die Initiative in bestehende Prozesse von Softwareherstellern, Sicherheitsforschern und Betreibern kritischer Infrastruktur einfügen.

Die Anschubfinanzierung übernimmt Alpha-Omega, ein Förderfonds der Linux Foundation für Open-Source-Sicherheit. Weitere Unternehmen und Organisationen können sich beteiligen, indem sie Entwicklerkapazitäten oder finanzielle Mittel bereitstellen. Parallel zum Start hat die Initiative einen offenen Brief veröffentlicht, in dem die Gründungsmitglieder zu einer gemeinsamen Absicherung der Open-Source-Infrastruktur aufrufen.

(fo)

Microsoft hat eine Angriffswelle auf das Hotel- und Gastgewerbe in Asien und Europa beobachtet. Sie läuft bereits seit April dieses Jahres. Die Quelle der Angriffe mag Microsoft jedoch nicht genau einordnen – es bleibt unklar, wer hinter den Attacken steckt.

Microsoft berichtet in einem Blogbeitrag, dass die Malware-Kampagne auf .zip-Dateien mit Foto-Namensschema setzt. Die laden potenzielle Opfer mit dem Webbrowser herunter. In den Archiven finden sich Shortcut-Dateien (Verknüpfungen), die als Bilder getarnt sind. Sofern ein Opfer diese etwa mittels Doppelklick startet, fangen diese eine Angriffskette an, die auf verschleierter PowerShell fußt. In der Folge installiert sie ein Node.js-Implantat, nistet sich zweifach in der Registry ein, um Persistenz zu erreichen und kommuniziert mit den Command-and-Control-Servern (C2) über Ports abseits der Standardports.

Kampagnen-Ziel unklar

Die IT-Sicherheitsforscher von Microsoft führen weiter aus, dass die Täter die betroffenen Maschinen nach der Infektion am C2-Server anmelden. Teils erzwingen sie das Herunterfahren der Systeme. Außerdem kompilieren sie Binärdateien im Portable-Executable-Format (PE). Allerdings bleibt den IT-Forschern zufolge unklar, was das eigentliche Ziel der Angreifer ist. Durch die Verschleierung und das Einnisten gehen sie jedoch davon aus, dass sie Nachfolge-Aktivitäten auf den kompromittierten Systemen planen.

Die Drahtzieher hinter der Kampagne haben im Mai dieses Jahres legitime Dienste missbraucht, um Phishing-E-Mails an die Opfer zu senden. Darunter die Cloud-Plattform Calendly und Googles URL-Redirector-Dienst. In Anlehnung an „Geldwäsche“ bezeichnen Microsofts IT-Forscher das als „Authentifizierungswäsche“. Die Phishingmails erhalten dadurch einen seriöseren Anstrich. Die Betrugsmails waren mehrsprachig, mit unterschiedlichen Ködern und Betreffzeilen. Thematisch gaben die Angreifer vor, es gehe um Beschwerden von Gästen und Zimmeranfragen. Das soll die Angestellten der Hotel- und Gastwirtschaftsbetriebe dazu bringen, die E-Mails zu lesen und die enthaltenen bösartigen Links und Dateien zu öffnen.

In den zwei beobachteten Wellen der Kampagne kamen zunächst bösartige Dateien nach dem Namensschema „IMG.png.lnk“ zum Einsatz, in der zweiten hingegen „PHOTO.png.lnk“. Die zweite Welle war noch etwas ausgefeilter und kompiliert dynamisch eine .NET-DLL mittels „csc.exe“. Die C2-Infrastruktur haben die Täter zudem auf „.cfd“-Domains ausgeweitet, die hinter Cloudflare-Schutz gehostet werden. Der Blogbeitrag beschreibt die einzelnen Stufen der Angriffe für Interessierte im Detail.

Während Microsofts IT-Forscher sich nicht sicher sind, was die Angreifer bezwecken, fällt die Kampagne in die Zeit, in der viele Menschen ihren Urlaub buchen. Uns erreichen noch immer zahlreiche Hinweise, dass Leser nach Buchung eines Hotelzimmers Phishing-WhatsApp-Nachrichten mit echten Daten und Bezug auf die Buchung erhalten. Im März hatten etwa die Best Western Hotels vor Cyberangriffen auf touristische Buchungssysteme gewarnt. Im April wurde bekannt, dass auch bei Booking.com Zugriffe von unbefugten Kriminellen entdeckt wurden.

(dmk)