Das IT-Infrastrukturmanagement-Tool OneView für VMware vCenter (OV4VC) von HPE ist verwundbar. Angreifer können sich höhere Nutzerrechte verschaffen.

Update installieren

Die in einer Warnmeldung aufgeführte Schwachstelle (CVE-2025-37101 „hoch„) kann Angreifer mit Leserechten dazu befähigen, Befehle als Admins auszuführen. Wie ein solcher Angriff im Detail ablaufen könnte und ob Angreifer die Lücke bereits ausnutzen, ist derzeit nicht bekannt.

Die Entwickler versichern, die Ausgabe 11.7 gegen diese Attacke gerüstet zu haben. Alle vorigen Versionen sollen angreifbar sein. Zuletzt hat das Informationstechnikunternehmen Sicherheitsupdates für seine Backuplösung StoreOnce veröffentlicht.

(des)

Angreifer haben eine mit Schadcode präparierte Windowsversion von Sonicwalls VPN-Software NetExtender veröffentlicht. Darüber schneiden sie VPN-Zugangsdaten mit.

Hintergründe

Davor warnt das IT-Unternehmen in einem aktuellen Beitrag. Über NetExtender stellen etwa Firmenmitarbeiter eine VPN-Verbindung ins Unternehmensnetzwerk her, um unter anderem auf Netzwerklaufwerke zuzugreifen.

In Zusammenarbeit mit Sicherheitsforschern von Microsoft ist Sonicwall nun auf eine mit Schadcode versehene Variante der VPN-Software gestoßen. Sie wurde auf einer Website angeboten, die wie die legitime NetExtender-Seite gestaltet war. Mittlerweile wurde die Website offline genommen und Windows stuft das Zertifikat, mit der die Fake-App signiert wurde, als nicht vertrauenswürdig ein. In welchem Umfang die Anwendung in Umlauf ist, ist derzeit nicht bekannt. Inzwischen sollten Virenscanner den Schadcode erkennen und Alarm schlagen.

Um zu erkennen, ob man die Fake-Version installiert hat, muss man die Eigenschaften der ausführbaren NetExtender-Datei öffnen und die „Digitale Signatur“ prüfen. Steht dort „CITYLIGHT MEDIA PRIVATE LIMITED“, handelt es sich um die verseuchte Version und Admins sollten sie umgehend löschen. Im Beitrag von Sonicwall findet man auch die Prüfsummen betroffener Dateien.

Einblicke

Sonicwall gibt an, dass die Cyberkriminellen die Dateien NEService.exe und NetExtender.exe mit Schadcode manipuliert haben. In der erstgenannten Datei haben die Angreifer die Validierung des Zertifikats entfernt, sodass die Datei starten kann, auch wenn die Signatur ungültig ist. In NetExtender.exe steckt Code, um VPN-Zugangsdaten inklusive Passwort zu kopieren und an einen Server der Angreifer zu schicken.

Dieser Fall zeigt abermals, dass man Software und Tools ausschließlich von den Herstellerwebsites oder verlässlichen Downloadportalen wie heise Download herunterladen sollte. Erschwerend kommt hinzu, dass immer wieder Fake-Websites ganz oben in den Ergebnissen einer Internetsuche landen. Neuerdings passiert das auch in Googles neuer KI-gestützter Suche.

(des)

Im November vergangenen Jahres gab Microsoft bekannt, dass auch Privatkunden einen erweiterten Support-Zeitraum für Windows 10 erhalten können. Nun konkretisiert das Unternehmen, wie es sich das vorstellt. Sogar eine „kostenlose Version“ ist dabei.

In einem Blog-Beitrag erörtert Microsoft zunächst die Vorzüge von Windows 11 ausführlich, um dann kurz auf die Windows 10 Extended Security Updates (ESU) einzugehen. Um die PCs von Windows-10-Nutzern in der Übergangszeit zu Windows 11 nach dem Support-Ende am 14. Oktober 2025 weiterhin zu schützen, liefert Microsoft im ESU-Programm weiterhin monatliche „kritische und wichtige Sicherheitsupdates“. Da Microsoft das nicht als Langzeitlösung vorsieht, gibt es jedoch keine neuen Funktionen, nicht-Sicherheitsupdates, Designänderungen oder technischen Support.

Ein Jahr Gnadenfrist

„Zum ersten Mal überhaupt können private Windows-10-PCs am ESU-Programm teilnehmen und monatlich kritische sowie wichtige Sicherheitsupdates erhalten, für ein Jahr, nachdem der Support im Oktober endet“, präzisiert Microsoft dort. Privatkunden können also offenbar nicht das für Business-Kunden zugängliche ESU mit bis zu drei Jahren Laufzeit erhalten – nach derzeitigem Stand.

Ein ESU-Wizard soll durch die Windows-Benachrichtigungen und in den Windows-Einstellungen erscheinen, der die Teilnahme am ESU-Programm einfach direkt vom betroffenen PC aus ermöglicht. Dieser Wizard hat drei Optionen für die Teilnahme. Als Erste können Interessierte Windows Backup aktivieren, das die Einstellungen in die Cloud synchronisiert – das ist kostenlos und genügt, um das ESU zu aktivieren. Als Zweites können Nutzerinnen und Nutzer Microsoft Reward-Punkte einlösen. Dazu sind 1000 Stück nötig, es fallen keine Zusatzkosten an. Und schließlich steht als dritte und letzte Option die Zahlung von 30 US-Dollar zur Verfügung, wobei „lokale Preise abweichen können“.

Nach der Auswahl einer Option und dem Befolgen der angezeigten Schritte erhält der PC die ESU-Updates. Der Zeitraum der Privatkunden-ESU läuft konkret vom 15. Oktober 2025 bis zum 13. Oktober 2026. Der EU-Beitritts-Wizard steht ab heute im Windows Insider-Programm bereit und soll im Juli als Option an Windows-10-Kunden verteilt werden. Die allgemeine Verfügbarkeit plant Microsoft ab Mitte August 2025.

Für Business-Kunden gibt es die üblichen ESU-Optionen, die mit 61 US-Dollar pro Maschine und Jahr zu Buche schlagen und bis zu drei Jahre nach offiziellem Support-Ende verfügbar sind. Die Folgejahre sollen jedoch mehr kosten. Ab heute soll das Business-ESU im Microsoft Volumenlizenzprogramm verfügbar sein. Cloud-Service-Provider bieten es ab dem 1. September 2025 an. Für Cloud- und virtuelle Umgebungen, die durch Windows-10-Geräte zugegriffen werden, bietet Microsoft automatisch ohne Zusatzkosten das ESU an – Admins müssen nichts unternehmen, das geschehe automatisch.

ESU wirklich kostenlos?

Ob die Windows-Backup-Option wirklich als kostenlos gelten kann, hängt stark davon ab, wie viele Daten Microsoft auf den Cloud-Speicher schiebt. Lediglich Einstellungen nehmen kaum Raum ein, jedoch sind Dokumente, Programme, Bilder und ähnliches gerne deutlich umfangreicher als die kostenlosen 5 GByte, die Microsoft in OneDrive bereitstellt. Die Microsoft-Reward-Punkte erhalten Nutzerinnen und Nutzer etwa für die Nutzung von Microsoft-Diensten wie der Bing-Suche oder der Bing-KI-Funktionen. Hier zahlen Interessierte mit ihren Daten.

(dmk)