Angreifer können kritische Infrastrukturen mit industriellen Kontrollsystemen (ICS) von Delta Electronics, Fuji Electric, Hitachi und SunPower attackieren. Beispielsweise im Energiesektor können erfolgreiche Attacken weitreichende Folgen für die Bevölkerung haben. Dementsprechend sollten Admins die bislang nur teilweise verfügbaren Sicherheitsupdates zeitnah installieren.

Auf die Sicherheitslücken und die von ihnen ausgehenden Gefahren weist die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einem Beitrag hin.

KRITIS absichern

Am gefährlichsten gilt eine „kritische“ Lücke (CVE-2025-9696) im System zur Überwachung von Solaranlagen SunPower PVS6, für die es bislang keinen Sicherheitspatch gibt. Aufgrund von hartcodierten Zugangsdaten können Angreifer in Bluetooth-Reichweite Geräte vollständig kompromittieren und sich etwa einen Fernzugriff via SSH einrichten. Die CISA gibt an, dass ihnen bislang keine Attacken bekannt sind. Davon sind die Versionen bis einschließlich 2025.06 build 61839 betroffen. Wann ein Update erscheint, ist bislang unklar.

Hitachi Energy Relion 650, 670 und SAM600-IO sind für DoS-Attacken (CVE-2025-2403 „hoch„) empfänglich. An dieser Stelle sollen Angreifer kritische Funktionen wie Line Distance Communication Module (LDCM) lahmlegen können. Die Sicherheitsupdates sind in einer Warnmeldung aufgelistet.

Auf Fuji Electric FRENIC-Loader 4 sind Schadcode-Attacken (CVE-2025-9365 „hoch„) möglich. Die Ausgabe ab 1.4.0.1 ist dagegen gerüstet. Delta Elcetronics EIP Builder kann sensible Informationen leaken (CVE-2025-57704 „mittel). Die Version 1.12 enthält ein Sicherheitsupdate.

(des)

Rufen Windows-Nutzerinnen und -Nutzer mit gewöhnlichen Benutzerrechten nach der Installation der August-Updates bestimmte Programme oder etwa die Reparaturfunktion von MSI-Installern auf, erhalten sie neuerdings einen Benutzerkontensteuerungs-Prompt (UAC). Installationen können deshalb auch fehlschlagen. Darauf weist Microsoft jetzt hin.

In einem Beitrag in den Windows-Release-Health-Notizen erklärt Microsoft das neue Verhalten von Windows. Grundsätzlich will Microsoft mit dem Update eine Sicherheitslücke im Windows-Installer schließen, durch die Angreifer aufgrund „schwacher Authentifizierung“ ihre Rechte im System ausweiten können (CVE-2025-50173 / EUVD-2025-24338, CVSS 7.8, Risiko „hoch„). Der Lösungsansatz besteht darin, einen Prompt der Benutzerkontensteuerung zum Vergeben der nötigen Administratorrechte anzuzeigen, sofern Aktionen des Windows-Installers (MSI) wie Reparaturen und ähnliche ausgeführt werden sollen.

Microsoft listet auf, dass diese Änderung nun in Benutzerkontensteuerungs-Rückfragen in einigen Szenarien sorgen kann: Beim Aufruf von MSI-Reparaturoperationen (etwa mittels „msiexec /fu“ [sic!]), beim Start von Autodesk-Apps, AutoCAD, Civil 3D oder Inventor CAM, sowie bei der Installation einer MSI-Datei, nachdem Nutzer sich das erste Mal in der App angemeldet haben. Außerdem können UAC-Prompts bei Installation von Apps auftreten, die sich als Benutzer installieren lassen, beim Start von Windows-Installern bei einem Active Setup, beim Verteilen von Paketen mittels Manager Configuration Manager (ConfigMgr), die auf Nutzer-spezifische „Advertising“-Konfigurationen zurückgreifen und beim Aktivieren des Secure Desktops.

Fehlschlagende Installationen

Weiter erklären Microsofts Entwickler, dass Installationen mit einer Fehlermeldung fehlschlagen können. Das passiert etwa, wenn Nutzer mit Standardrechten eine MSI-Reparaturfunktion anstoßen, die keine Dialoge anzeigt. Als Beispiel nennen die Redmonder die Installation und den Start von Microsoft Office Professional Plus 2010 als Standardnutzer. Im Konfigurationsvorgang erscheint dann der Fehler 1730.

Als Gegenmaßnahme empfiehlt Microsoft, die App nach Möglichkeit als Administrator zu starten. Etwa aus dem Startmenü oder aus den Suchergebnissen heraus durch Rechtsklick und der Auswahl „Als Administrator ausführen“. IT-Verwalter können bei Microsofts Support for Business eine spezielle Gruppenrichtlinie anfordern, die dann offenbar Standardnutzern die Möglichkeit bietet, Apps als Admin auszuführen.

Microsoft arbeitet den Angaben zufolge an einer Lösung, die Admins die Möglichkeit gibt, bestimmten Apps MSI-Operationen ohne UAC-Prompts einzurichten. Betroffen sind eigentlich alle derzeit unterstützten Windows-Versionen: Windows 11 24H2, 23H2, 22H2, Windows 10 22H2, 21H2, 1809, Enterprise LTSC 2019, Enterprise LTSC 2016, 1607, Enterprise 2015 LTSB und Windows Server 2025, 2022, 1809, 2019, 2016, 2012 R2 und 2012.

Die August-Sicherheitsupdates für Windows haben ungewöhnlich viele Nebenwirkungen aufgezeigt. Zunächst schlug das Verteilen der Updates mittels WSUS fehl. Das konnte Microsoft lösen, allerdings wurde im gleichen Atemzug bekannt, dass das Zurücksetzen und die Wiederherstellung mit Windows-Bordmitteln nach Anwendung der Updates nicht mehr klappte. Ein ungeplantes Update des Updates außer der Reihe hat die zugrundeliegenden Fehler schließlich korrigiert. Schließlich hat das Windows-Sicherheitsupdate noch für Aussetzer beim professionellen Video- und Audio-Streaming gesorgt, das etwa mit OBS genutzt werden kann.

(dmk)

Nach einem IT-Angriff auf Jaguar Land Rover stehen in Großbritannien Produktion und Vertrieb still. Am Dienstag wurden zahlreiche Mitarbeiter nach Hause geschickt, weil sie ohne die heruntergefahrenen IT-Systeme nicht arbeiten können. Auf einer Messaging-App sind nun öffentliche Bekenntnisse zu der Tat aufgetaucht.

Eine Bande namens Scattered Lapsus$ Hunters prahlt mit der Straftat und hat als Beweis des erfolgreichen Eindringens in die Computer Jaguar Land Rovers (JLR) Screenshots gepostet. Das berichtet die BBC (British Broadcasting Corporation). Die Postings sind auf Englisch verfasst. Außerdem hat sich eine Person, die sich als Sprecher der Bande geriert, in nicht öffentlich ausgetauschten Textnachrichten auf Englisch verständigt.

Daraus gehe hervor, dass JLR erpresst werden soll. Der Autohersteller hat bislang keine Details zur Vorgehensweise, zur Art der kopierten Daten oder zu etwaigen Geldforderungen gemacht. Nur soviel: Es gäbe zum jetzigen Zeitpunkt keine Hinweise darauf, dass Kundendaten heruntergeladen wurden.

Junge Briten

Ein weiteres Indiz, das, neben der Sprachwahl, auf inländische Täter deutet, ist der Name, den sich die Gruppe gegeben hat. Er soll offenbar darauf hinweisen, dass es sich um versprengte Mitglieder dreier krimineller Gruppen handelt, die sich vor allem aus jungen Briten zusammensetzen. Dazu gehört Scattered Spider, die im April und May die Einzelhändler M&S (Marks & Spencer), Co-op und Harrods angegriffen hat. Im Juli wurden in England eine 20 Jahre alte Frau, zwei 19-jährige Männer und ein siebzehnjähriger Bursche verhaftet.

Lapsus$ ist seit Jahren amtsbekannt, hat sie doch prominente Einrichtungen angegriffen: Zu den bekannten Opfern zählen Rockstar Games, das brasilianische Gesundheitsministerium, Nvidia, Samsung, Ubisoft, T-Mobile, Microsoft, Uber und die British Telecom. Ende 2023 wurde ein minderjähriger Brite schuldig befunden, ein gerade großjährig gewordener Landsmann in die forensische Psychiatrie gesteckt. Seine Begier, weitere IT-Straftaten zu begehen, ist so groß, dass er als Gefahr für die Öffentlichkeit eingestuft werden musste. Der Dritte im Bunde, Shinyhunters ist vor allem für den Einbruch bei Ticketmaster und den einstigen Mitbetrieb des Breachforums bekannt.

Die Täter sind eher keine ausgefeilten Zeroday-Experten, sondern haben sich bislang vorwiegend Methoden aus dem Werkzeugkasten des Social Engineering bedient, um sich in Unternehmensnetze einzuschleichen. Dann leiten die Kriminellen Daten aus, erpressen ihre Opfer, und protzen damit online. Zusammengefunden haben sich die Täter laut BBC über das soziale Untergrundnetzwerk The Com (The Community), vor dem Strafverfolger wie die britische National Crime Agency und das FBI öffentlich warnen.

(ds)