![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Noch ein kleiner Sammelbeitrag zu Sicherheitsthemen. Es gibt mal wieder Datenlecks, bei Google, bei der Telekom etc. Die Software WinRAR enth\u00e4lt eine Schwachstelle, \u00fcber die Schadsoftware ausgeliefert wird. Und Domain Controller mit Windows k\u00f6nnen in ein DDoS-Werkzeug verwandelt werden, die die Clients im Netzwerk lahm legt.<\/p>\n
<\/p>\n
Beim Extrahieren einer Datei k\u00f6nnen unter den Windows-Versionen von RAR, UnRAR, der portable UnRAR-Quellcode und UnRAR.dll in Windows dazu gebracht werden, einen in einem speziell gestalteten Archiv definierten Pfad anstelle des vom Benutzer angegebenen Pfads zu verwenden.<\/p>\n Die Schwachstelle wurde von der mutma\u00dflich russischen Hackergruppe RomCom (aka Storm-0978, Tropical Scorpius oder UNC2596) ausgenutzt, um Malware bei Phishing-Angriffen auszuspielen. Die Gruppe ist f\u00fcr Ransomware- und Datenleck-Erpressungsangriffe und Kampagnen zum Diebstahl von Zugangsdaten bekannt. Bleeping Computer hatte die Tage diesen Artikel<\/a> zu diesem Thema ver\u00f6ffentlicht.<\/p>\n Unix-Versionen von RAR, UnRAR, der portable UnRAR-Quellcode und die UnRAR-Bibliothek sowie RAR f\u00fcr Android sind davon nicht betroffen.<\/p>\n Ich hatte im Januar 2025 im Beitrag\u00a0Active Directory-Schwachstelle kann ungepatchte Window Server zum Absturz bringen<\/a> \u00fcber die LDAPNightmare-Schwachstelle berichtet. In diesem Umfeld haben Sicherheitsforscher zwei weitere Schwachstellen gefunden, die weitaus bedenklicher sind. Eine von Sicherheitsforschern entdeckte und auf der Def CON gerade pr\u00e4sentierte neuartige Angriffstechnik k\u00f6nnte dazu missbraucht werden, Tausende von \u00f6ffentlichen Dom\u00e4nencontrollern (DCs) weltweit zu einem b\u00f6sartigen Botnetz zu verbinden und damit leistungsstarke Distributed-Denial-of-Service-Angriffe (DDoS) durchzuf\u00fchren. Die Sicherheitsforscher haben im Beitrag Win-DoS Epidemic: A crash course in abusing RPC for Win-DoS & Win-DDoS<\/a> den Vortrag vom Sonntag, den 10. August 2025 auf der Def CON angek\u00fcndigt.<\/p>\n Ein Blog-Leser hat mich \u00fcber obigen Tweet bzw. diesen Artikel<\/a> von The Hacker News \u00fcber das Thema informiert. Die Forscher zeigen, wie RPC-Aufrufe f\u00fcr diese Angriffe missbraucht werden k\u00f6nnen.<\/p>\n Im Blog-Beitrag\u00a0\u00dcber 28.000 ungepatchte hybride Exchange-Instanzen (CVE-2025-53786) online<\/a> hatte ich \u00fcber die Sicherheitsl\u00fccke CVE-2025-53786 berichtet, \u00fcber die Angreifer mit Admin-Rechten auf einem lokalen Exchange-Server ihre Berechtigungen f\u00fcr die \u00dcbernahme von Exchange Online-Tenants missbrauchen k\u00f6nnen. Einige Leser fragten \"wo ist das Problem, wenn ein Angreifer Administratorrechte hat?\".<\/p>\n In diesem Kontext schrieb mir Scott Caveza vom Sicherheitsanbieter Tenable, dass CVE-2025-53786 eine besonders attraktive Post-Compromise-Schwachstelle sei. Dieses w\u00fcrde es Angreifern erm\u00f6glichen, unbemerkt ihre Berechtigungen zu erweitern und Zugriff auf besonders sensible Systeme zu erlangen. Diese Aktivit\u00e4t k\u00f6nne leicht unentdeckt bleiben, da es aufgrund bestimmter Koexistenzfunktionen in hybriden Exchange-Umgebungen derzeit keine verl\u00e4ssliche M\u00f6glichkeit zur Protokollierung gibt.<\/p>\n Die Schwachstelle unterstreicht aus seiner Sicht die Notwendigkeit, hybride Umgebungen konsequent abzusichern, und wirft neue Fragen zur strikten Trennung von On-Premises- und Cloud-Umgebungen auf. Jede Organisation, die das April 2025-Hotfix noch nicht eingespielt und die Mitigations-Hinweise nicht ausgef\u00fchrt habe, sollte davon ausgehen, verwundbar zu sein \u2013 und sollte umgehend den Empfehlungen von Microsoft folgen, um diese Bedrohung zu beseitigen. Scott Caveza hat in diesem Tenable Blog-Beitrag<\/a> einige Hinweise zum Thema zusammen getragen.<\/p>\n libarchive ist eine Open Source-Bibliothek mit Kompressionsfunktionen. Seit l\u00e4ngerem ist die Schwachstelle CVE-2025-5914 bekannt, deren Risiko aber als niedrig angesehen wurde. Nun wurde das Risiko hochgestuft und CERT-Bund warnt vor der Schwachstelle. heise hat die Details in diesem Beitrag<\/a> zusammen getragen.<\/p>\n Sicherheitsforschern ist es gelungen, die Google AI-L\u00f6sung Gemini \u00fcber Google Kalendereinladungen zu kapern und dann Nutzerdaten abzuziehen und zu ver\u00f6ffentlichen. Die Kollegen von Bleeping Computer haben die Details hier ver\u00f6ffentlicht<\/a>.<\/p>\n Link-Wrapping-Dienste werden von Technologiediensten zur Aufl\u00f6sung von URLs angeboten. Dabei werden URLS in Nachrichten in vertrauensw\u00fcrdige URLs umgesetzt und b\u00f6sartige Ziel-URLs werden von einem Scanner blockiert.<\/p>\n Genau dieser Mechanismus wurde von einem b\u00f6sartigen Akteur genutzt, um Opfern b\u00f6sartige Links zu schicken. \u00dcber Link-Wrapping-Dienste renommierter Technologieunternehmen missbraucht, um b\u00f6sartige Links zu verschleiern.<\/p>\n Ein Angreifer nutzte die URL-Sicherheitsfunktion des Cybersicherheitsunternehmens Proofpoint und des Cloud-Kommunikationsunternehmens Intermedia in Kampagnen von Juni bis Juli 2025 aus, um Opfer auf Microsoft 365-Phishing-Seiten zu locken. Dort wurde versucht, die Anmeldedaten der Nutzer abzugreifen. Die Kollegen von Bleeping Computer haben den Sachverhalt in\u00a0diesem Artikel<\/a> detaillierter beschrieben.<\/p>\n Gerade wurde von OpenAI das neue GPT-5 mit vielen Versprechungen (kann alles bis auf Kaffee kochen) vorgestellt. Golem berichtet hier<\/a>, dass zwei Sicherheitsfirmen gravierende Schwachstellen in OpenAIs GPT-5 entdeckt haben. Damit lassen sich Abfragen manipulieren, um die Sicherheitsgrenzen der Modelle auszuhebeln und Daten abzufragen, die sonst nicht m\u00f6glich w\u00e4ren.<\/p>\n Es gibt Staaten, die \"Anti-Satelliten-Waffen\" f\u00fcr den Weltraum entwickeln, um Satelliten zu zerst\u00f6ren. Aber das ist oft gar nicht notwendig, um diese funktionsunf\u00e4hig zu machen. In einem Vortrag auf der Black Hat-Konferenz in Las Vegas haben Milenko Starcik und Andrzej Olchawa vom deutschen Unternehmen VisionSpace Technologies demonstriert, wie einfach es ist, Software-Schwachstellen in der Software der Satelliten selbst sowie in den Bodenstationen, die diese steuern, auszunutzen. Die Details lassen sich bei The Register im Beitrag\u00a0Why blow up satellites when you can just hack them?<\/a> nachlesen.<\/p>\n Sicherheitsforscher Eaton Zveare von Harness hat Sicherheitsl\u00fccken in der API des H\u00e4ndlerportals eines Fahrzeugherstellers entdeckt, \u00fcber die er private Kunden- und Finanzdaten abgreifen, sowie Fahrzeuge remote orten, entriegeln und starten sowie den jeweiligen Halter identifizieren konnte. Dies wurde auf der Def CON in einem Vortrag<\/a> pr\u00e4sentiert. Golem hat das Ganze hier aufbereitet<\/a>.<\/p>\n Es gibt noch einen Beitrag So you CAN turn an entire car into a video game controller<\/a>, der zeigt, wie moderne Fahrzeuge missbraucht werden k\u00f6nnen.<\/p><\/blockquote>\n In Hotels und Firmen finden sich immer mehr Tresore mit elektronischen Schl\u00f6ssern. \u00a0James Rowley und Mark Omo zeigten auf der Def CON, wie sie \u00fcber Schwachstellen die elektronischen Tresore des Herstellers Securam ProLogic \u00f6ffnen konnten. Golem hat die Details in diesem Beitrag<\/a> ver\u00f6ffentlicht.<\/p>\n Es gibt Bastler bzw. Anwender, die 3D-Modelle f\u00fcr den 3D-Druck erstellen und dann auf die Seite\u00a0makerworld.com<\/a> hochladen. So k\u00f6nnen Dritte diese 3D-Modelle f\u00fcr den eigenen 3D-Druck verwenden. Ein Blog-Leser hat mich die Tage darauf hingewiesen, dass beim Upload die Metadaten in den Dateien f\u00fcr die 3D-Modelle drin bleiben nun nicht herausgefiltert. Zitat: \"Ich wei\u00df nicht ob das ein Problem f\u00fcr den deutschen Datenschutz darstellt aber ich war sehr erschrocken als ich selber neue 3d Modelle auf die Webseite von makerworld.com\/de\u00a0<\/em>hochgeladen habe. Warum? Die Metadaten wurden nicht gel\u00f6scht. Ich hab dann mal andere Profile aufgerufen und k\u00f6nnte auch dort z.b. GPS Daten auslesen. Gott sei Dank hatte ich das in der Vergangenheit unbewusst immer selber gemacht aber jetzt m\u00fcsste es mal schnell gehen.\"<\/p>\n Der Leser hat mir z.B. dieses 3D-Modell<\/a> als betroffen angegeben, und schrieb: \"Das Bild wurde in yuhang gemacht.\" Kann man mit der Windows Foto-Anzeige den Herstellort anzeigen lassen einfach. Dazu das Bild \u00f6ffnen, dann rechte Maustaste auf Dateiinfo<\/em> rechts\u00a0 klicken, um den GPS-Ort anzuzeigen. Nat\u00fcrlich passiert dies nur bei Bildern, die mit aktivierten GPS-Daten aufgenommen wurden.<\/p>\n Bei der Streaming-Plattform von Magenta TV der Telekom hat es ein massives Datenleck gegeben, bei dem die Daten von Millionen Kunden \u00fcber Monate durch unbefugte Dritte einsehbar waren. Aufgefallen ist es Sicherheitsforschern von CyberNews, die eindeutige Internet-Kennungen, Account-Nummern und Informationen \u00fcber die Hardware der Magenta TV-Nutzer einsehen konnten. Betroffen waren \u00fcber 324 Millionen Kunden. Die Telekom hat das gegen\u00fcber der FAZ best\u00e4tigt<\/a>. Golem hat hier<\/a> noch einige Informationen zum Fall herausgezogen.<\/p>\n Bereits Anfang Juni 2025 war bekannt geworden, dass Google als Nutzer Opfer eines Phishing-Angriffs auf die Plattform von Salesforce geworden war. Ich hatte im Beitrag\u00a0Hackergruppe UNC6040 greift Salesforce-Instanzen per Vishing an<\/a> dar\u00fcber berichtet.<\/p>\n In einem Update vom 8. August 2025<\/a> best\u00e4tigt Google, dass einige seiner Nutzer im Werbebereich mit ihren Daten von diesem Vorfall betroffen seien (danke an den Leser f\u00fcr den Hinweis). Die betroffenen Kunden wurden per E-Mail \u00fcber den Datenabfluss bzw. den Vorfall informiert. Bleeping Computer hat in diesem Artikel<\/a> einige Details dazu zusammen getragen.<\/p>\n Die in DACH angesiedelte Infoniqa Gruppe ist ein f\u00fchrender Anbieter von Personal-, ERP- und Accounting-Software und hat elf Standorte in Europa. Inside IT hat mich die Tage informiert<\/a>, dass die Gruppe Softwareanbieter ihre Systeme nach einem Cyberangriff heruntergefahren habe, was zu Einschr\u00e4nkungen f\u00fcr Schweizer Kunden Dies f\u00fchrt bei Anwendern von One Start Cloud und weiteren L\u00f6sungen zu Problemen. Die Auswirkungen w\u00fcrden derzeit mit externen Cybersecurity-Experten untersucht. Gem\u00e4\u00df der Status-Seite von Infoniqa sind Kunden in \u00d6sterreich und Deutschland nicht betroffen.<\/p>\n Inside IT hat \u00fcbrigens auch Informationen, die die Ransomware-Gruppe Safepay zu ihrem Angriff auf Ingram Micro im Darkweb publiziert hat. Ich hatte \u00fcber den Vorfall im Beitrag\u00a0Ingram Micro hat Ransomware-Infektion erlitten<\/a> berichtet.<\/p><\/blockquote>\n Wolfram hat mich Anfang August 2025 kontaktiert, weil er einen Datenschutzvorfall bei booking.com oder der WMM Hotel Gruppe vermutet. Er hat mir von booking.com eine Rundmail zukommen lassen, in der es hei\u00dft:<\/span><\/p>\n Einige Reisende haben potenziell betr\u00fcgerisches Verhalten in Form von Personen gemeldet, die sich als Vertreter von Booking.com oder als Partner von Sehensw\u00fcrdigkeiten ausgeben. Dies kann \u00fcber E-Mails oder Nachrichten mit einem b\u00f6sartigen Link geschehen, in denen Sie aufgefordert werden, die Reservierung zu best\u00e4tigen und au\u00dferhalb unserer Plattform zu bezahlen, oder \u00fcber eine nachgeahmte Phishing-Website. Dies kann den Zugriff auf Ihr Ger\u00e4t und Ihre pers\u00f6nlichen Daten gef\u00e4hrden.<\/p><\/blockquote>\n Wolfram meinte dazu: \"da kamen wirklich viele Phishing Mails rein, \u00fcber booking.com und \u00fcber die WMM Hotel Gruppe. Irgendwo muss es da einen Datenreichtum und einen Einbruch in die Systeme gegeben haben.\"<\/span><\/p>\n Ein Leser wies mich darauf hin, dass Payback-Kunden derzeit feststellen, dass die f\u00fcr Eink\u00e4ufe gut geschriebenen Punkte mit Hilfe von \"Kontenteilung\" leerger\u00e4umt wurden. Das Ganze wird auf mydeals diskutiert<\/a>, die Vermutungen gehen in Richtung einer \"undichten\" API.<\/p>\n Abschlie\u00dfend noch ein historischer Fundsplitter, den heise hier aufbereitet<\/a> hat. Vor 10 Jahren wurden gegen Autoren von netzpolitik.org Ermittlungen wegen \"Landesverrat\" aufgenommen, weil die Plattform einen Budgetplan ver\u00f6ffentlichte, der geheime \u00dcberwachungspl\u00e4ne finanzieren wollte. Das wuchs sich zu einer ziemliche Aff\u00e4re aus und kostete den Generalbundesanwalt schlie\u00dflich seinen Job.<\/p>\n","protected":false},"excerpt":{"rendered":" Noch ein kleiner Sammelbeitrag zu Sicherheitsthemen. Es gibt mal wieder Datenlecks, bei Google, bei der Telekom etc. Die Software WinRAR enth\u00e4lt eine Schwachstelle, \u00fcber die Schadsoftware ausgeliefert wird. Und Domain Controller mit Windows k\u00f6nnen in ein DDoS-Werkzeug verwandelt werden, die … Weiterlesen Ende Juli 2025 gab es ein Update der Packsoftware WinRAR auf die Version 7.13, in der die Schwachstelle\u00a0CVE-2025-8088 geschlossen wurde. Gem\u00e4\u00df den Release-Notes<\/a> gab es bis zur Version 7.12 einen Directory Traversal-Bug beim Auflisten von Verzeichnissen.<\/p>\n
![\"WinRAR-Schwachstelle](\"https:\/\/i.postimg.cc\/8PMg5wLS\/image.png\")
<\/p>\nWin-DDoS: Hijacking Windows Domain Controller<\/h2>\n
![\"Hijacking](\"https:\/\/i.postimg.cc\/dtxT921D\/image.png\")
<\/a><\/p>\nTenable zur hybrid Exchange-Schwachstelle CVE-2025-53786<\/h2>\n
Kritische Schwachstelle in\u00a0libarchive<\/h2>\n
Google Kalendereinladungen kapern Gemini<\/h2>\n
Microsoft 365-Anmeldedaten \u00fcber Link-Wrapping-Dienste stehlen<\/h2>\n
![\"MS](\"https:\/\/i.postimg.cc\/Hx65rk6y\/image.png\")
<\/a><\/p>\nOpenAI GPT-5 mit Sicherheitsl\u00fccken<\/h2>\n
Satelliten hacken leicht gemacht<\/h2>\n
Auto \u00fcber Webportal des Herstellers geknackt<\/h2>\n
Schwachstellen in elektronischen Tresoren<\/h2>\n
Metadaten in 3D-Modellen auf metaworld.com<\/h2>\n
![\"Metadaten](\"https:\/\/i.postimg.cc\/wx5fnmQF\/image.png\")
<\/p>\nDatenleck bei Magenta TV<\/h2>\n
Datenabfluss bei Google<\/h2>\n
infonica untersucht Cybervorfall<\/h2>\n
\nf\u00fchrt.<\/p>\nDatenvorfall bei booking.com oder WMM Hotel Gruppe?<\/span><\/h2>\n
Payback-Konten leer ger\u00e4umt<\/h2>\n
Die netzpolitik.org-Aff\u00e4re<\/h2>\n