Der Internationale Strafgerichtshof (IStGH) will sich von Technologie aus den USA unabhängig machen – aus Furcht vor Repressalien Donald Trumps, hat das Handelsblatt erfahren. Die Institution in Den Haag will die bislang auf den Arbeitsplätzen genutzte Microsoft-Software durch OpenDesk ersetzen.

Laut Handelsblatt ist die Entscheidung vor dem Hintergrund von Sanktionen durch die derzeitige US-Regierung unter Präsident Donald Trump gegen Mitarbeiter wie dem Chefankläger Karim Khan zu sehen. Microsoft hatte seinen E-Mail-Zugang einfach gesperrt. Er musste daher zum Schweizer E-Mail-Dienst Proton wechseln. Da der IStGH in hohem Maße auf Dienstleister wie Microsoft angewiesen sei, werde er in seiner Arbeit geradezu gelähmt, hieß es im Mai.

Zudem prüfe die US-Regierung in Washington weitere Maßnahmen gegen den Internationalen Strafgerichtshof, erörtert das Handelsblatt weiter. Auch das könnte die Arbeitsfähigkeit der Einrichtung erheblich einschränken.

Digitale Souveränität erreichen

Die OpenDesk-Software wird vom Zentrum für Digitale Souveränität (Zendis) entwickelt, einer Firma des Bundes. Ihre Aufgabe ist es, beim Auflösen kritischer Abhängigkeiten von einzelnen Technologieanbietern zu helfen.

Beim Internationalen Strafgerichtshof geht es zwar „nur“ um 1800 Arbeitsplätze, die aus der US-Abhängigkeit gelöst werden sollen. Das Handelsblatt sieht das jedoch als Hinweis darauf, dass Geopolitik sich zunehmend um Technologie dreht. Wirtschaft und Politik erkennen die Abhängigkeit von US-amerikanischen Digitalkonzernen als Problem, insbesondere mit Hinblick darauf, dass die USA die Technologie als Druckmittel einsetzen.

Der IStGH steht nicht alleine mit diesen Ambitionen da: Etwa der Öffentliche Gesundheitsdienst will auf OpenDesk setzen, und auch die Deutsche Bundeswehr hat mit Zendis einen Rahmenvertrag über „souveräne Kommunikations- und Kollaborationslösungen“ wie OpenDesk geschlossen.

(dmk)

Angreifer können an einer Sicherheitslücke in MOVEit Transfer ansetzen, um Dateiübertragungen zu stören. Ein Update steht zum Download bereit.

Instanzen vor Attacken schützen

Die Entwickler weisen in einem Beitrag auf die Schwachstelle (CVE-2025-10932 „hoch„) hin. Sie raten zu einem zügigen Update. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Das Sicherheitsproblem betrifft konkret das AS2-Modul. Die Beschreibung der Lücke liest sich so, als können Angreifer Schadcode hochladen und so dafür sorgen, dass die Dateiübertragungssoftware nicht mehr nutzbar ist.

Davon sind die Versionen bis jeweils einschließlich 2023.0, 2023.1.15 (15.1.15), 2024.0, 2024.1.6 (16.1.6) und 2025.0.2 (17.0.2) bedroht. Die Entwickler versichern, die Lücke in den folgenden Ausgaben geschlossen zu haben:

• MOVEit Transfer 2023.1.16 (15.1.16)
• MOVEit Transfer 2024.1.7 (16.1.7)
• MOVEit Transfer 2025.0.3 (17.0.3)

Weil der Support für 2023.0 und 2024.0 ausgelaufen ist und es keine Sicherheitsupdates mehr gibt, müssen Admins auf eine noch unterstützte Version upgraden. Alternativ gibt es eine Übergangslösung: Um Systeme abzusichern, müssen Admins unter C:\MOVEitTransfer\wwwroot die Dateien AS2Rec2.ashx und AS2Receiver.aspx löschen.

Nach der Installation des Sicherheitsupdates ist noch Arbeit vonnöten: Weil der Patch den Zugriff durch eine Liste mit erlaubten IP-Adressen einschränkt, müssen Admins die jeweiligen Adressen manuell in den Einstellungen (Settings->Security Policies->Remote Access->Default Rules) eintragen. Im Onlinedienst MOVEit Cloud soll bereits eine abgesicherte Ausgabe laufen.

MOVEit sorgte Mitte 2023 für viele Schlagzeilen, weil eine attackierte kritische Lücke weltweite Auswirkungen hatte.

(des)

Eine Schwachstelle in der Netzwerk-Monitoring-Software Checkmk kann dazu führen, dass Angreifer Javascript-Code einschleusen – oder sogar unbefugt Befehle ins Betriebssystem durchreichen. Es handelt sich um eine Cross-Site-Scripting-Lücke, die die Entdecker als kritisch einordnen.

Die Sicherheitslücke beschreibt SBA-Research konkret als Stored-Cross-Site-Scripting-Schwachstelle. Sie kann auftreten, wenn Checkmk in einem verteilten Monitoring-Setup betrieben wird. In dem Fall kann jede verbundene Remote-Site Javascript-Code in das Userinterface der zentralen Site injizieren (CVE-2025-39663, CVSS 9.1, Risiko „kritisch„). Angreifer, die Kontrolle über eine verbundene Remote-Site haben, können demzufolge durch Ansicht des Status der Hosts oder Dienste der Remote-Site die Kontrolle über Web-Sessions übernehmen. Attackieren bösartige Akteure eine Admin-Session, ermöglicht das die Ausführung von Code aus dem Netz (RCE) in der zentralen Site.

Proof-of-Concept verfügbar

Die IT-Forscher zeigen in der Schwachstellenbeschreibung auch einen Proof-of-Concept (PoC), der die Lücke ausnutzt. Sie führen weiter vor, wie es bei attackierten Admin-Sitzungen dadurch zur Ausführung von Befehlen im Betriebssystem kommen kann.

Die vor Kurzem veröffentlichten Versionen 2.4.0p14 sowie 2.3.0p39 von Checkmk schließen die Sicherheitslücke. In der Sicherheitsmitteilung empfehlen die Autoren, zügig auf diese Versionen zu aktualisieren. Admins sollten die Aktualisierungen auch deshalb rasch anwenden, da Angreifer mit dem verfügbaren PoC die Schwachstelle leicht missbrauchen können. Die IT-Forscher von SBA-Research empfehlen zudem, die Option „Trust this site completely“ für alle Remote-Sites zu deaktivieren.

Erst vor kurzem hatte Checkmk aktualisierte Software herausgegeben, die eine Rechteausweitungslücke im Windows-Agent schloss. Mit einem CVSS-Wert von 8.8 galt sie als hochriskant und schrammte nur knapp am kritschen Status vorbei.

(dmk)