Ende April 2025 verschafften sich Strafverfolger Zugriff auf den Darknet-Marktplatz „BreachForums“, die Administratoren schlossen die Sicherheitslücke und stellen das Forum unter anderer Adresse erneut ins Netz. Nun scheint gewiss: In Wirklichkeit hatten Kriminalisten, nicht Kriminelle die Kontrolle über den Tummelplatz für Datenhehler. Das bestätigte ein Mitglied der Gruppe, die das Forum administrierte.

Das Forum „BreachForums“ diente zu seinen Hochzeiten Datendieben und -Hehlern als Anlaufstelle für ihre Geschäfte. Hier verkaufte „IntelBroker“, ein mittlerweile inhaftierter Brite, Daten aus Angriffen auf HPE und Cisco, auch Gratistickets für Konzerte der Sängerin Taylor Swift waren im Angebot. Das Forum stand ständig im Fadenkreuz internationaler Ermittler. Als es von eben jenen Ende April übernommen und vom Netz gefegt wurde – angeblich mittels eines Exploits für eine Sicherheitslücke der Forumssoftware –, sorgte das für Misstrauen. Nicht unbegründet: Darknet-Foren werden immer wieder von Strafverfolgern als „Honigtopf“ weiterbetrieben, um Beweise gegen Cyberkriminelle zu sammeln.

Fünf der Administratoren, darunter Mitglieder der Gruppe „ShinyHunters“, sitzen seit Juni in Haft, doch das Forum tauchte bald unter neuer Adresse wieder auf. Nun wird scheinbar zur Gewissheit, was viele Forumsmitglieder vermuteten: BreachForums ist selber „breached“, Behörden betrieben das Forum weiter und sammelten so wichtige Informationen im Kampf gegen Cyberkriminalität.

Lebenszeichen mit PGP-Signatur

Das behauptet einer, der es wissen muss: Eines der Mitglieder der Gruppe ShinyHunters. In mehreren Nachrichten – eine davon veröffentlicht auf dem bei Kriminellen beliebten Messenger Telegram – warnt er seine Mitnutzer: Jedwede Nutzeraktivität auf BreachForums werde von Behörden zur Beweissicherung mitgeschnitten und der Code des Forums sei manipuliert. Man solle das Forum nicht mehr nutzen.

Für seine persönliche Sicherheit gibt der Unbekannte Entwarnung: Weder er, noch die kriminelle Infrastruktur der Gruppierung „ShinyHunters“ sei kompromittiert. Frühere Medienberichte sprachen von der Inhaftierung mindestens eines Mitglieds der Gruppierung. An der Authentizität der Nachrichten besteht zunächst wenig Zweifel: Sie sind beide mit dem PGP-Schlüssel signiert, den „ShinyHunters“ seit Jahren nutzt. Zudem scheint es wenig wahrscheinlich, dass dieser Schlüssel unter der Kontrolle der Behörden steht: Diese werden Gauner wohl kaum vor ihren eigenen Ermittlungen warnen wollen.

Forum offline – für immer?

Unmittelbar nach ShinyHunters‘ zweiter Nachricht ging BreachForums erneut offline und ist es noch. Ob neben dem zeitlichen auch ein ursächlicher Zusammenhang besteht, kann nur gemutmaßt werden. Sicher ist jedoch: Viele Nutzer haben das Vertrauen in ihre einstige Darknet-Heimat wohl endgültig verloren und sind in andere Untergrundforen abgewandert. Denen droht jedoch ein ähnliches Schicksal: Auch das eher auf Malware-Entwicklung spezialisierte Forum XSS steht im Verdacht, durch Strafverfolger infiltriert zu sein.

(cku)

In Organisationen, die Windows Updates mittels Windows Server Update Services (WSUS) verteilen, kann die Installation der Sicherheitsaktualisierungen im August unter Windows 11 24H2 mit einer Fehlermeldung fehlschlagen. Anstatt erfolgreichem Vollzug meldet Windows dann den Fehlercode 0x80240069. An einer Lösung arbeitet Microsoft derzeit noch.

Das schreibt Microsoft in den Windows Release Health Notizen. Der Fehler kann bei Installation des Sicherheitsupdates KB5063878 über WSUS-Server auftreten. Es handelt sich um das Update zum August-Patchday von Microsoft für Windows 11 24H2.

Temporäre Lösung: Deinstallation

Microsoft nutzt den „Known Issue Rollback“-Mechanismus (KIR) zur temporären Lösung des Problems. Das Unternehmen setzt es dazu auf verwalteten Geräten in Unternehmensumgebungen ein. Für IT-Verantwortliche stellt Microsoft zudem Gruppenrichtlinien bereit, mit denen sie das ebenfalls in ihrer Organisation erreichen können. Sie steht als .msi-Datei zum Herunterladen für Windows 11 24H2 bereit. Sie bringt eine Gruppenrichtlinie mit dem Namen „Windows 11 24H2 and Windows Server 2025 KB5063878 250814_00551 Known Issue Rollback“ mit.

Admins finden sie in den Gruppenrichtlinien unter „Computer Configuration“ – „Administrative Templates“. Zudem stellt Microsoft eine Anleitung bereit, wie Admins Gruppenrichtlinien zur Verteilung eines Known Issue Rollbacks nutzen können.

Als weitere Möglichkeit nennt Microsoft zudem, die Sicherheitsupdates aus dem August manuell über Windows Update oder aus dem Windows Update Katalog zu installieren. Die Entwickler aus Redmond arbeiten an einer Lösung des Problems, die mit einem künftigen Windows-Update verteilt werden soll. Sofern dieses Update bereitsteht, ist es nicht mehr nötig, die obige Gruppenrichtlinie zu installieren und konfigurieren, ergänzen sie.

(dmk)

Weil Foxit PDF Reader und Editor verwundbar sind, können Angreifer macOS- und Windows-Computer attackieren. Dagegen gerüstete Versionen stehen zum Download bereit. Derzeit gibt es keine Berichte, ob Angreifer die Schwachstellen bereits ausnutzen.

Auswirkungen von Attacken

Wie aus dem Sicherheitsbereich der Foxit-Website hervorgeht, haben die Entwickler mehrere Sicherheitslücken geschlossen. Im schlimmsten Fall kann Schadcode auf Systeme gelangen und diese vollständig kompromittieren. Das kann etwa über mit JavaScript präparierte PDFs erfolgen (etwa CVE-2025-55313 „hoch„). Dabei ist aber davon auszugehen, dass Opfer mitspielen und so eine Datei öffnen müssen, damit eine Attacke eingeleitet werden kann.

Überdies können Angreifer manipulierte Dokumente legitim erscheinen lassen (CVE-2025-55311 „mittel„). Weiterhin können Informationen leaken (CVE-2025-55307 „niedrig„) oder es kann zu Abstürzen kommen (CVE-2025-32451 „hoch„).

Die Entwickler versichern, die folgenden Ausgaben gegen die geschilderten Angriffe abgesichert zu haben.

macOS/Windows:

• PDF Editor 2025.2, 13.2, 14.0
• PDF Reader 2025.2

Zuletzt haben die Entwickler im Dezember 2024 Sicherheitslücken geschlossen.

(des)