Netzwerk-Admins sollten zeitnah ihre Security Appliances und Router von Moxa auf den aktuellen Stand bringen. Geschieht das nicht, könnten Angreifer an mehreren Sicherheitslücken ansetzen und Geräte vollständig kompromittieren.

Verschiedene Gefahren

In einer Warnmeldung führen die Entwickler aus, dass sie insgesamt fünf Schwachstellen geschlossen haben. Davon sind drei Lücken (CVE-2025-6950, CVE-2025-6949, CVE-2025-6893) mit dem Bedrohungsgrad „kritisch“ eingestuft. Setzen Angreifer erfolgreich an diesen Schwachstellen an, können sie unter anderem aufgrund eines statischen Schlüssels gültige Tokens erzeugen und sich so als beliebiger Nutzer anmelden. Im Anschluss können sie Geräte mit weitreichenden Rechten komplett übernehmen.

In einem anderen Fall können Angreifer mit niedrigen Nutzerrechten Admin-Accounts erstellen und Systeme so kompromittieren. Für eine weitere Attacke muss ein Angreifer ebenfalls bereits authentifiziert sein. Ist das gegeben, kann er aufgrund eines Fehlers bei der Zugangskontrolle System- und Konfigurationsdaten verändern.

Aufgrund eines Fehlers in der Authentifizierungs-API (CVE-2025-6892 „hoch„) können Angreifer auf Endpoints mit administrativen Berechtigungen zugreifen. Vor einem Angriff muss sich aber bereits ein legitimer Nutzer angemeldet haben.

Geräte absichern

Konkret betroffen sind die Produktserien EDR-G9010 Series, EDR-8010 Series, EDF-G1002-BP Series, TN-4900 Series, NAT-102 Series, NAT-108 Series und OnCell G4302-LTE4 Series. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Moxa rät Besitzern von betroffenen Geräten dennoch zu einem zügigen Update auf die gegen die geschilderten Attacken gerüstete Version v3.21.

(des)

Nach der Installation der Update-Vorschauen vom Ende September oder der Sicherheitsupdates aus dem Oktober in Windows kann es zu einigen unerwarteten Nebenwirkungen kommen. Microsoft berichtet von fehlschlagender Authentifizierung mit Smartcards, nicht funktionierender Maus und Tastatur in der Windows-Wiederherstellungsumgebung oder dem Fehlschlagen des Ladens von IIS-Webseiten von localhost.

Wie Microsoft in den Windows-Release-Health-Notizen erklärt, kann nach dem Anwenden der Update-Vorschau aus September oder den Patchday-Updates das Laden von Webseiten vom Internet Information Server (IIS) mit Fehlermeldungen wie „Connection reset – error (ERR_CONNECTION_RESET)“ oder ähnlichen fehlschlagen. Das tritt bei serverseitigen Anwendungen auf, die auf HTTP.sys aufsetzen. Betroffen sind auch Webseiten, die auf gehostet sind und andere IIS-Verbindungen. Betroffene Geräte sollen Admins nach Updates suchen lassen, gegebenenfalls verfügbare Aktualisierungen anwenden lassen und im Anschluss das Gerät neu starten – auch, wenn augenscheinlich kein Update verfügbar war. Das Problem hat Microsoft vorerst mit einem „Known Issues Rollback“ (KIR) gelöst.

Außerdem funktionieren nach dem Anwenden der Oktober-Sicherheitsupdates USB-Geräte wie Tastaturen und Mäuse nicht mehr in der Windows-Wiederherstellungsumgebung (WinRE), teilt Microsoft mit. Das verhindert das Navigieren in den Wiederherstellungsoptionen. Microsoft bemüht sich, klarzustellen, dass USB-Tastaturen und -Mäuse im Windows-Betriebssystem jedoch normal funktionieren. Eine Lösung will der Hersteller dafür in den kommenden Tagen liefern.

Smartcard-Anmeldungen mit Problemen

Die Sicherheitsupdates aus dem Oktober können zudem Hakeleien bei der Authentifizierung mit Smartcards auslösen. Wie die Entwickler in den Windows-Release-Health-Notizen schreiben, können Smartcard-Nutzerinnen und -Nutzer Fehlermeldungen wie „Invalid provider type specified“ oder „CryptAcquireCertificatePrivateKey error“ erhalten. Smartcards werden nicht als Cryptographic Service Provider (CSP) in 32-Bit-Anwendungen erkannt, es lassen sich damit keine Dokumente signieren oder es treten Fehler in Apps auf, die auf Zertifikat-basierte Authentifizierung setzen. Das geht auf eine Verbesserung der Windows-Sicherheit zurück, wodurch der Key Storage Provider (KSP) anstatt des Certificate Service Providers (CSP) für RSA-basierte Smartcard-Zertifikate zum Zuge kommt. Ob die eigenen Smartcards betroffen sind, lässt sich in den System-Ereignisprotokollen an Einträgen mit der Event-ID 624 erkennen – bereits vor der Anwendung der Oktober-Sicherheitspatches.

Admins können sich mit Registry-Änderungen behelfen. Unter dem Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais müssen sie dazu den Eintrag DisableCapiOverrideForRSA auf 0 setzen. Sofern der Schlüssel nicht existiert, muss er angelegt werden. Microsoft nennt den Typ nicht, allerdings ist ein DWORD (32 Bit) hierfür anzunehmen.

Die Probleme betreffen vorrangig Windows Server 2025, Windows 11 25H2 und Windows 11 24H2. Die Smartcard-Authentifizierung hingegen kann auch in Windows 11 23H2, 22H2, Windows 10 22H2, Windows Server 2022, 2019, 2016, 2012R2 und 2012 haken.

Zum Patchday in der vergangenen Woche hat Microsoft mehr als 170 Sicherheitslücken mit aktualisierter Software geschlossen. Daher sollten IT-Verantwortliche nicht darauf verzichten, sie anzuwenden. 17 der Softwareflicken bessern sogar als „kritisch“ eingestufte Schwachstellen aus.

(dmk)

China hat den USA Cyberangriffe auf eine zentrale staatliche Zeitbehörde vorgeworfen. Nach Angaben des Ministeriums für Staatssicherheit soll der US-Nachrichtendienst NSA seit März 2022 das Nationale Zeitdienstzentrum in Xi’an angegriffen haben.

Die Angriffe hätten über Sicherheitslücken in den Handys von Mitarbeitern begonnen, später seien auch Computer im Zentrum betroffen gewesen, hieß es in einer Mitteilung über den WeChat-Account des Ministeriums. Dabei soll zuerst eine Sicherheitslücke im Messaging-Dienst von Smartphones einer „ausländischen Marke“ ausgenutzt worden sein, schreibt das Ministerium. Diese Marke nennt es jedoch nicht.

Danach sollen zwischen 2023 und 2024 monatelang über gestohlene Anmeldedaten weitere Teile der Zeit-Infrastruktur des Landes angegriffen worden sein. Der Mitteilung des Ministeriums zufolge kamen dabei verschiedenste Werkzeuge zum Einsatz, die über VPNs vor allem in westlichen Ländern betrieben wurden. Ob dies jedoch für eine klare Zuordnung eines Angreifers reicht, ist äußerst fraglich.

Zeitbehörde als Teil kritischer Infrastruktur

Das angegriffene Zentrum ist laut chinesischer Darstellung für die Bereitstellung und Verbreitung der offiziellen Zeit in China zuständig, die Grundlage für den Betrieb von Kommunikationsnetzen, Finanzsystemen und der Stromversorgung ist. Angriffe darauf könnten schwere Störungen verursachen, schreibt das Ministerium.

China hat trotz seiner Größe landesweit nur eine Zeitzone. Aus den USA gab es zunächst keine Reaktion auf die Anschuldigungen, auch nach Anfragen direkt bei der NSA am Wochenende, wie unter anderem Bloomberg berichtet. Beide Seiten werfen sich immer wieder Cyberangriffe vor.

(nie)