Admins und Nutzer sollten Ausschau nach Aktualisierungen für diverse Softwarepakete halten. Die libssh2-Bibliothek, die weit verbreitet zum Einsatz kommt, enthält eine kritische Sicherheitslücke. Ein veröffentlichter Proof-of-Concept-Exploit vereinfacht deren Ausnutzung durch bösartige Akteure deutlich.

Im Schwachstelleneintrag hat die US-amerikanische IT-Sicherheitsbehörde CISA inzwischen die freie Verfügbarkeit des Proof-of-Concept-Exploits ergänzt. Die Sicherheitslücke basiert auf einer nicht erfolgten Begrenzung des „packet_length“-Feldes bei der Verarbeitung in der Funktion ssh2_transport_read(). Angreifer aus dem Netz können das missbrauchen, um mit übermäßig großen „packet_length“-Werten in manipulierten SSH-Paketen den Speicher auf dem Heap durcheinander zu bringen und dabei das Ausführen von eingeschleustem Code zu provozieren (CVE-2026-55200, CVSS 9.8, Risiko „kritisch“).

Wenn Angreifer Opfer dazu bringen, sich mit ihrer Client-Software mit manipulierten Servern zu verbinden, können sie ihnen damit Schadcode unterjubeln. Projekte wie curl, PHP, libgit2 und diverse weitere setzen libssh2 ein. libssh2 ist bis einschließlich Version 1.11.1 anfällig. Noch immer ist das die letzte verfügbare offizielle Version, der Patch ist derzeit lediglich als Quellcode-Commit verfügbar. Diverse Linux-Distributionen stellen jedoch aktualisierte Pakete mit eigenen Backports bereit.

Zügig aktualisieren

Unter Linux sollte also das Aufrufen der Softwareverwaltung und die Installation der angebotenen Aktualisierungen zum Ziel führen. Etwa unter Windows wird das jedoch schwieriger. Die offiziellen curl-Binaries für Windows 8.21.0_2 vom 24. Juni 2026 sind etwa noch statisch mit libssh2 1.11.1 verlinkt, die die Sicherheitslücke aufweist. Zwar macht das curl-Team im „Sommer der Glückseligkeit“ Urlaub – allerdings dürfte der Bedarf nach einer Aktualisierung seitens der zahlenden Supportkunden nun wachsen und in Kürze eine Aktualisierung bereitstehen.

Die Sicherheitslücke und eine weitere in libssh2 wurden in der vergangenen Woche bekannt. Seitdem steht lediglich der Commit im Quellcode bereit, ein offizielles neues Paket mit dem Update steht seitdem noch aus.

(dmk)

Microsoft hat eine Angriffswelle auf das Hotel- und Gastgewerbe in Asien und Europa beobachtet. Sie läuft bereits seit April dieses Jahres. Die Quelle der Angriffe mag Microsoft jedoch nicht genau einordnen – es bleibt unklar, wer hinter den Attacken steckt.

Microsoft berichtet in einem Blogbeitrag, dass die Malware-Kampagne auf .zip-Dateien mit Foto-Namensschema setzt. Die laden potenzielle Opfer mit dem Webbrowser herunter. In den Archiven finden sich Shortcut-Dateien (Verknüpfungen), die als Bilder getarnt sind. Sofern ein Opfer diese etwa mittels Doppelklick startet, fangen diese eine Angriffskette an, die auf verschleierter PowerShell fußt. In der Folge installiert sie ein Node.js-Implantat, nistet sich zweifach in der Registry ein, um Persistenz zu erreichen und kommuniziert mit den Command-and-Control-Servern (C2) über Ports abseits der Standardports.

Kampagnen-Ziel unklar

Die IT-Sicherheitsforscher von Microsoft führen weiter aus, dass die Täter die betroffenen Maschinen nach der Infektion am C2-Server anmelden. Teils erzwingen sie das Herunterfahren der Systeme. Außerdem kompilieren sie Binärdateien im Portable-Executable-Format (PE). Allerdings bleibt den IT-Forschern zufolge unklar, was das eigentliche Ziel der Angreifer ist. Durch die Verschleierung und das Einnisten gehen sie jedoch davon aus, dass sie Nachfolge-Aktivitäten auf den kompromittierten Systemen planen.

Die Drahtzieher hinter der Kampagne haben im Mai dieses Jahres legitime Dienste missbraucht, um Phishing-E-Mails an die Opfer zu senden. Darunter die Cloud-Plattform Calendly und Googles URL-Redirector-Dienst. In Anlehnung an „Geldwäsche“ bezeichnen Microsofts IT-Forscher das als „Authentifizierungswäsche“. Die Phishingmails erhalten dadurch einen seriöseren Anstrich. Die Betrugsmails waren mehrsprachig, mit unterschiedlichen Ködern und Betreffzeilen. Thematisch gaben die Angreifer vor, es gehe um Beschwerden von Gästen und Zimmeranfragen. Das soll die Angestellten der Hotel- und Gastwirtschaftsbetriebe dazu bringen, die E-Mails zu lesen und die enthaltenen bösartigen Links und Dateien zu öffnen.

In den zwei beobachteten Wellen der Kampagne kamen zunächst bösartige Dateien nach dem Namensschema „IMG.png.lnk“ zum Einsatz, in der zweiten hingegen „PHOTO.png.lnk“. Die zweite Welle war noch etwas ausgefeilter und kompiliert dynamisch eine .NET-DLL mittels „csc.exe“. Die C2-Infrastruktur haben die Täter zudem auf „.cfd“-Domains ausgeweitet, die hinter Cloudflare-Schutz gehostet werden. Der Blogbeitrag beschreibt die einzelnen Stufen der Angriffe für Interessierte im Detail.

Während Microsofts IT-Forscher sich nicht sicher sind, was die Angreifer bezwecken, fällt die Kampagne in die Zeit, in der viele Menschen ihren Urlaub buchen. Uns erreichen noch immer zahlreiche Hinweise, dass Leser nach Buchung eines Hotelzimmers Phishing-WhatsApp-Nachrichten mit echten Daten und Bezug auf die Buchung erhalten. Im März hatten etwa die Best Western Hotels vor Cyberangriffen auf touristische Buchungssysteme gewarnt. Im April wurde bekannt, dass auch bei Booking.com Zugriffe von unbefugten Kriminellen entdeckt wurden.

(dmk)

Das US-Justizministerium hat fast 400 Internet-Domains beschlagnahmt, über die Spiele der Fußball-Weltmeisterschaft 2026 illegal per Streaming übertragen wurden. Die Seiten sollen gegen Urheberrecht verstoßen haben, teilte die Behörde am Freitag mit.

Die Aktion läuft unter dem Namen „Operation Offsides“. Der Beschlagnahmungsbeschluss wurde nach Angaben aus der Mitteilung des Justizministeriums am Eastern District of Virginia eingereicht. Ermittler bestätigten zuvor, dass über die Domains laufende WM-Spiele in Echtzeit übertragen wurden.

Hinweise von FIFA und Sendern

Identifiziert wurden die Domains mit Hilfe der FIFA. Zusätzliche Hinweise lieferten die Sender beIN Media Group und NBCUniversal, die Anti-Piraterie-Allianz ACE der Motion Picture Association, die Kampfsport-Liga UFC und Warner Bros., schreibt das US-Justizministerium. Die FIFA hält die Rechte an der Fußball-WM 2026, die von den USA, Kanada und Mexiko ausgerichtet wird.

Die US-Behörden warnen Nutzer illegaler Streaming-Seiten vor erheblichen Risiken: Solche Angebote setzten Besucher Schadsoftware und unsicheren Verbindungen aus, über die persönliche und finanzielle Daten abgegriffen werden könnten.

Fünfmal so groß wie 2022

Es handelt sich bereits um die zweite „Operation Offsides“: Bei der ersten Operation während der WM 2022 in Katar beschlagnahmten die Behörden 78 Domains, berichtet Tom’s Hardware. Dass die WM 2026 in Nordamerika stattfindet, gibt den US-Behörden mehr rechtlichen Spielraum als beim Turnier in Katar.

Über das ICHIP-Netzwerk (International Computer Hacking and Intellectual Property) koordinierte das Justizministerium zudem Maßnahmen mit dem Ausland. Server und Domains wurden etwa in Peru und Bulgarien ins Visier genommen, die das Ministerium als Zentren der Online-Piraterie bezeichnet. Auch in Kroatien, Rumänien, Polen und Kolumbien wurden Server abgeschaltet. Zuvor gelang europäischen Behörden mit der Operation KRATOS 2 ein Schlag gegen Streaming-Netzwerke. Europol meldete 29 Festnahmen gegen illegales Streaming.

Keine offizielle Liste

Eine Liste der betroffenen Domains hat das Justizministerium nicht veröffentlicht. Das Branchenportal TorrentFreak hat allerdings mehrere abgeschaltete Websites identifiziert, darunter bekannte Sport-Streaming-Seiten wie Rojadirecta und istreameast.app.

Betreiber illegaler Streams wechseln bei einer Beschlagnahmung meist auf vorbereitete Ersatz-Domains und verteilen neue Links über soziale Netzwerke.

(dahe)