Im Security-Podcast geht es dieses Mal um Angriffe gegen Smart-Contracts, also gegen Code auf der Blockchain. Moment mal, Smart-Contract-Hacks und Blockchains – ist der Podcast in ein Sommer- und Zeitloch gefallen? Keineswegs! Die großen Blockchains stellen immer noch ein florierendes System dar, in dem viel Geld fließt, Angreifer fette Beute wittern – und allzu oft auch erfolgreich machen. Oft ist das (sicherheits-)technisch eher wenig interessant, doch Anfang Juli flog ein ungewöhnlich weitreichender Angriff auf; ein schöner Anlass für den Podcast, sich diesem Thema zu widmen.

Weil Christopher im Urlaub weilt, hat Sylvester seinen Kollegen Jan Mahn eingeladen. Die beiden nutzen die Gelegenheit, um allgemein über Blockchains, Smart-Contracts und deren (Sicherheits-)Vor- und Nachteile zu diskutieren. Das ist auch nötig, um den aktuellen Angriff zu verstehen. Der nutzte einen Fehler in sogenannten Proxy-Contracts aus. Solche Konstruktionen erlauben, die an sich unveränderlichen Smart-Contracts mit einer Updatemöglichkeit zu versehen; insbesondere auch, um Fehler beheben zu können. Einerseits eine bitter nötige Option – denn Smart-Contract-Entwickler machen Fehler wie andere Entwickler auch – und andererseits eine sehr drastische Maßnahme: Eigentlich ist ihre garantierte Unveränderlichkeit eine der herausragenden Eigenschaften von Smart-Contracts.

Nach diesen Vorarbeiten sehen sich die Hosts den eigentlichen Angriff an. Er unterwanderte fehlerhaft initialisierte Proxy-Contracts und ging dabei so geschickt vor, dass die betroffenen Projekte nichts bemerkten: Gängige Analyse-Werkzeuge und auch die nachträglichen – vermeintlich erst- und einmaligen – Initialisierungen der Contracts durch ihre Urheber verhielten sich unauffällig.

Letztlich entdeckte ein Security-Unternehmen das Problem, versuchte – mit leider nicht lückenlosem Erfolg – alle betroffenen Projekte zu informieren und in einer koordinierten Aktion alle unterwanderten Verträge unschädlich zu machen. Denn auch wenn der Angreifer offenbar noch auf irgendetwas wartete, er würde sicherlich in Aktion treten, sobald ihm die ersten Gegenmaßnahmen seine Entdeckung verrieten.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(syt)

Zwei Sicherheitslücken meldet Zoom in den Windows-Clients. Sie ermöglicht Angreifern aus dem Netz ohne vorherige Anmeldung, ihre Rechte auszuweiten. Das Unternehmen stellt Aktualisierungen zur Verfügung, die die Schwachstellen ausbessern.

Die schwerwiegendere Sicherheitslücke stuft Zoom als kritische Bedrohung ein. Laut Sicherheitsmeldung von Zoom geht sie auf einen nicht vertrauenswürdigen Suchpfad zurück. „Das kann nicht authentifizierten Nutzern ermöglichen, eine Ausweitung ihrer Rechte über Netzwerkzugriffe auszuführen“, erörtern die Entwickler des Unternehmens dort (CVE-2025-49457 / EUVD-2025-24529, CVSS 9.6, Risiko „kritisch„). Details dazu, wie Angriffe aussehen könnten, nennen sie hingegen nicht.

Mittelschwere Schwachstelle

Zudem haben die Entwickler eine Race Condition in der Software ausgebügelt. Etwas verschwurbelt formuliert Zoom in der zugehörigen Sicherheitsmitteilung, dass nicht authentifizierte Nutzer diese Schwachstelle im Installer bestimmter Zoom-Client für Windows die „Integrität mit lokalem Zugriff beeinflussen“ können (CVE-2025-49456 / EUVD-2025-24528, CVSS 6.2, Risiko „mittel„). Auch hier bleibt im Dunkeln, wie Angreifer diese Lücke konkret missbrauchen können.

Die kritische Sicherheitslücke dichtet die Version 6.3.10 von Zoom Workplace for Windows, Zoom Workplace VDI for Windows (hier sind die Versionen 6.1.16 und 6.2.12 nicht anfällig), Zoom Rooms for Windows, Zoom Rooms Controller for Windows und schließlich Zoom Meeting SDK for Windows ab. Die Race Condition bügeln die Versionen Zoom Workplace 6.4.10, Zoom Workplace VDI for Windows 6.3.12 (6.2.15 ist nicht verweundbar), Zoom Rooms und der Rooms Controller for Windows 6.4.5 sowie das Zoom Meeting SDK for Windows 6.4.10 aus.

Die aktuelle Software steht auf der Download-Seite von Zoom zum Herunterladen bereit. Aufgrund des Schweregrads sollten IT-Verantwortliche zeitnah auf die jüngste Fassung der Konferenzsoftware aktualisieren.

Zuletzt fielen im Mai Schwachstellen in Zoom-Webkonferenzsoftware auf. Auch dort konnten Angreifer aufgrund einer Race Condition ihre Rechte im System ausweiten.

(dmk)

Angreifer können Firewalls von Fortinet attackieren und darauf zugreifen. Überdies hat der Anbieter von IT-Sicherheitslösungen noch weitere Schwachstellen in verschiedenen Produkten geschlossen.

Kritische Schadcodelücke

Am gefährlichsten gilt einer Warnmeldung zufolge eine „kritische“ Sicherheitslücke (CVE-2025-25256) in der IT-Sicherheitslösung FortiSIEM. An dieser Stelle können Angreifer ohne Authentifizierung mit präparierten CLI-Anfragen ansetzen, um Schadcode auszuführen. Aufgrund der Einstufung ist davon auszugehen, dass Angreifer nach einer erfolgreichen Attacke die volle Kontrolle erlangen.

Da der Support für FortiSIEM 5.x und bis einschließlich 6.6 ausgelaufen ist, bekommen diese Versionsstränge keine Sicherheitsupdates mehr. Gegen die beschriebene Attacke sind die Ausgaben 6.7.10, 7.0.4, 7.1.8, 7.2.6 und 7.3.2. FortiSIEM 7.4 soll nicht bedroht sein.

Firewalls kompromittierbar

Wie ein Sicherheitsforscher in einem Beitrag schreibt, können Angreifer die Authentifizierung von FortiWeb-Firewalls umgehen. Die Schwachstelle steckt im Out-of-Band-Management-Zugriff (OOB) beim Umgang mit Cookies.

Der Beschreibung zufolge können Angreifer Server dazu zwingen, einen vorhersehbaren und somit nicht mehr geheimen Schlüssel für eine Session zu verwenden. Dafür müssen Angreifer Fortinet zufolge mit speziellen Anfragen an der Lücke ansetzen, um im Anschluss im Namen eines existierenden Nutzers auf die Firewall zuzugreifen.

FortiWeb 8.0 ist den Entwicklern zufolge davon nicht bedroht. Für 7.x.x-Ausgaben stehen die Sicherheitsupdates 7.0.11, 7.2.11, 7.4.8 und 7.6.4 zum Download bereit.

Weitere Gefahren

Weiterhin sind noch Attacken auf unter anderem FortiCamera, FortiMail und FortiPAM vorstellbar. An diesen Stellen können Angreifer etwa eigene Befehle ausführen oder auf eigentlich abgeschottete Daten zugreifen.

(des)