Italien & SchweizAktualisiert ·
Die Cybersecurity-Zeitung
TickerMicrosoft Patch Tuesday mit aktiven zero-day // Welle kritischer Multi-Vendor-Patches // SonicWall SMA 1000 zero-day unter Angriff // AsyncAPI in der npm-Supply-Chain kompromittiert
Microsoft Patch Tuesday mit aktiven zero-dayZero-day
● Aufmacher — Zero-day

Microsoft Patch Tuesday mit aktiven zero-day

Microsoft hat sein monatliches Update für Juli 2026 mit einem beispiellosen Volumen an Fixes veröffentlicht, das in verschiedenen Quellen mit 621, 622 oder mehr als 570 Schwachstellen angegeben wird, darunter mehrere Lücken, die bereits in Angriffen ausgenutzt wurden. Zu den betroffenen Bereichen zählen SharePoint, RDP, Hyper-V, Active Directory Federation Services und weitere Komponenten, die in Unternehmens- und Regierungsumgebungen weit verbreitet sind.

Mehr lesen

Das Vorhandensein bereits aktiver zero-day macht das Risikofenster unmittelbar real, insbesondere für Organisationen, die internetexponierte Windows-Infrastrukturen oder hoch privilegierte Umgebungen betreiben. CISA hat außerdem mehrere Microsoft-Schwachstellen in den KEV-Katalog aufgenommen und Behörden wie Unternehmen dazu gedrängt, dem patching höchste Priorität einzuräumen. Der Umfang des Releases erhöht auch die Wahrscheinlichkeit von Triage-Fehlern und Verzögerungen bei der Anwendung von Mitigations. Praktisch gesehen ist dieser Patch Tuesday nicht nur groß: Er ist ein Ereignis, das weltweit die Arbeitslast der Security-Teams verändert.

Produkt
Windows, SharePoint, RDP
Maßnahme
priorisiertes patching
Auswirkung
unmittelbares Risiko
Aus der Redaktion
Welle kritischer Multi-Vendor-PatchesAdvisory
Advisory

Welle kritischer Multi-Vendor-Patches

Neben dem Microsoft Patch Tuesday sind in dieser Woche zahlreiche Security-Updates für weit verbreitete Produkte wie Chrome, Firefox, Adobe, VMware, Zoom, Citrix, Cisco, IBM WebSphere, Splunk und andere erschienen.

Mehr lesen

Google hat mehrere Schwachstellen in Chrome behoben, darunter kritische und hochschwere Lücken, während Mozilla zwei kritische Bugs behoben hat, die bereits aktiv ausgenutzt wurden. ACN und andere Quellen haben Schwachstellen in Enterprise-Produkten wie Cisco RoomOS, IBM WebSphere, Splunk und Citrix gemeldet, oft mit Auswirkungen auf Authentifizierung, Zugriff auf sensible Informationen oder beliebiges Schreiben von Dateien. Diese Art von Patch-Welle ist relevant, weil sie Software-Schichten trifft, die als Einstiegspunkt, Kollaborationskanal oder Plattformkomponente genutzt werden. Organisationen, die sekundäre Vendoren ignorieren, riskieren exponierte Angriffsflächen, selbst wenn sie die wichtigsten Betriebssysteme bereits abgesichert haben. Die Lehre daraus ist, dass remediation Multi-Vendor-übergreifend und koordiniert erfolgen muss und nicht nur auf Endpoints beschränkt sein darf.

Produkt
Chrome, Firefox, VMware
Schweregrad
kritisch, hoch
Maßnahme
alle Vendoren aktualisieren
Auswirkung
Zugriff, Dateien, Daten
SonicWall SMA 1000 zero-day unter AngriffZero-day
Zero-day

SonicWall SMA 1000 zero-day unter Angriff

SonicWall hat die aktive Ausnutzung von zwei zero-day-Schwachstellen bestätigt, die SMA-1000-Appliances betreffen, und damit Kunden gezwungen, sofort zu aktualisieren und nach Anzeichen einer Kompromittierung zu suchen.

Mehr lesen

Zu den Lücken gehören CVE-2026-15409, eine kritische SSRF, die es einem nicht authentifizierten Remote-Angreifer ermöglicht, das Gerät zu Anfragen an beliebige Ziele zu zwingen, sowie CVE-2026-15410, eine post-authentication code injection-Schwachstelle, die zur Ausführung von Befehlen auf dem Betriebssystem führen kann. Die Reaktionshinweise sind streng: Wenn IoC auftauchen, empfiehlt SonicWall ein re-image der Hardware-Appliances oder die Neuverteilung der virtuellen Instanzen sowie das Zurücksetzen von Passwörtern und TOTP-Token. Der Schweregrad ist hoch, weil SMA 1000 häufig als Remote-Access-Punkt für Benutzer und Administratoren verwendet wird, sodass eine Kompromittierung das interne Netzwerk öffnen kann. Die Kampagne ist besonders besorgniserregend, weil sie zwei komplementäre Vektoren kombiniert, einen pre-auth und einen post-auth, und damit die Exploit-Möglichkeiten in realen Szenarien erweitert. Für Verteidiger ist dies kurzfristig eine Priorität für patching und hunting.

CVE
CVE-2026-15409, 15410
Produkt
SonicWall SMA 1000
Schweregrad
kritisch, hoch
Maßnahme
update, re-image, reset
AsyncAPI in der npm-Supply-Chain kompromittiertSupply chain
Supply chain

AsyncAPI in der npm-Supply-Chain kompromittiert

Die AsyncAPI-Organisation wurde über GitHub Actions kompromittiert und veröffentlichte daraufhin bösartige Versionen mehrerer stark heruntergeladener npm-Pakete. Die infizierten Versionen führten eine install-time-Payload und Code ein, der

Mehr lesen

in der Lage war, Credentials, Token, SSH-Keys, Crypto-Wallets und Cloud-Secrets zu stehlen, und trafen damit ein Ökosystem mit mehr als zwei Millionen wöchentlichen Downloads. Microsoft beschrieb den Angriff als Kompromittierung der CI/CD, die genutzt wurde, um Malware über vertrauenswürdige Software zu verteilen, und hob hervor, wie mächtig die Build-Chain als Einstiegspunkt ist. Das Ereignis ist nicht nur für Entwickler relevant, die diese Pakete nutzen, sondern für alle Organisationen, die npm und automatisierte Workflows als vertrauenswürdige Kanäle behandeln. Die Kombination aus Supply-Chain-Compromise, Trust Abuse und der Persistence der Payload macht den Fall zu einem klassischen Beispiel für systemisches Risiko. Es ist auch ein starkes Signal dafür, dass populäre Dependencies ein vorrangiges Ziel für Angreifer bleiben.

Produkt
AsyncAPI-npm-Pakete
Maßnahme
Secrets rotieren, Audit
Auswirkung
Credential-Diebstahl, Malware
OAuth und device code unter AngriffAuthentifizierung
Authentifizierung

OAuth und device code unter Angriff

Kampagnen zum Account Takeover entwickeln sich von einfachem Password Spraying hin zur Manipulation von OAuth- und device-code-Flows. Proofpoint und Microsoft haben beschrieben, wie client ID spoofing in Entra ID die Enumerierung von Accounts oder das Ableiten des Authentifizierungsstatus ermöglicht, ohne ein klassisches erfolgreiches sign-in zu erzeugen.

Mehr lesen

Eine weitere Studie zeigte einen „confused deputy“ in Google IdP durch device-code-flow-hijacking, mit der Möglichkeit, Sessions zu übertragen und zu unsichtbaren Takeovers zu gelangen. Diese Vektoren sind sehr wichtig, weil sie einen Teil der traditionellen Telemetrie umgehen und die Logik des Identity Providers selbst ausnutzen. Parallel dazu verwenden Kampagnen wie Forg365 und EvilTokens device-code-Phishing und Session-Theft, um persistente Zugriffe auf Microsoft 365 aufrechtzuerhalten. Das Ergebnis ist eine Bedrohung, die nicht mehr nur von schwachen Passwörtern abhängt, sondern davon, wie Authentifizierungsprotokolle implementiert und geloggt werden.

Produkt
Entra ID, Google IdP
Maßnahme
OAuth und Flows überwachen
Auswirkung
stealthy Account Takeover
Verwundbare UEFI-shim untergraben Secure BootFirmware
Firmware

Verwundbare UEFI-shim untergraben Secure Boot

Forscher von ESET und Binarly haben hervorgehoben, dass mehrere ältere, von Microsoft signierte UEFI-shim weiterhin zum Umgehen von Secure Boot verwendet werden können. Die Schwachstellen betreffen Bootloader und Startkomponenten, die trotz Widerruf oder Fixes ein Risiko bleiben, wenn sie noch in der Boot-Chain oder in Recovery-Images vorhanden sind.

Mehr lesen

Das Problem ist gravierend, weil es ermöglicht, das Vertrauen auf Firmware-Ebene zu kompromittieren, bevor das Betriebssystem Security-Kontrollen anwenden kann. Verschiedene Quellen bringen die Entdeckung mit 11 verwundbaren shim und mehreren Schwachstellen in U-Boot in Verbindung, mit Auswirkungen auf Router, embedded devices und kritische Infrastrukturen. Dadurch erweitert sich die Bedrohung über PCs hinaus: Auch Smart-Kameras, Controller und Netzwerkgeräte können zu Vektoren für stealthy Persistence werden. Die Folge ist eine dringende Überprüfung von Secure-Boot-Baselines, Widerrufen und Firmware-Updates.

Produkt
UEFI-shim, U-Boot
Maßnahme
Widerrufe, Firmware-Update
Auswirkung
Secure-Boot-Bypass
Angriffe stoppen Logistik und LebensmittelproduktionRansomware
Ransomware

Angriffe stoppen Logistik und Lebensmittelproduktion

Die Angriffe auf Nichirei in Japan und fairlife, das Molkereigeschäft von Coca-Cola in den Vereinigten Staaten, zeigen, wie sich Cyber Risk schnell in Produktionsstopps übersetzen kann.

Mehr lesen

Nichirei erlitt einen Angriff, der Logistik und Versand blockierte, während fairlife nach einem ransomware-Vorfall, der produktionsnahe Systeme betraf, einen Teil der US-Produktion aussetzte. Beide Fälle verdeutlichen, dass der Schaden nicht nur informativ ist: Wenn operative Systeme getroffen werden, werden industrielle Kontinuität und Kundenversorgung unterbrochen. In keinem der Fälle gab es zumindest in den ersten Berichten vollständige öffentliche Zuschreibungen oder gesicherte Details zur ransomware group. Dennoch zeigt die Aussage, dass Produktqualität und -sicherheit intakt bleiben, während die Operations stillstehen, den typischen Trade-off cyber-industrieller Krisen. Für Unternehmen in Manufacturing und Food Chain ist operative Resilienz inzwischen eine echte Security-Maßnahme.

Produkt
Nichirei, fairlife
Maßnahme
Containment, Kontinuität
Auswirkung
Produktionsstopp, Versandstopp
Industrialisierter Online-Betrug im Visier EuropasFrodi
Frodi

Industrialisierter Online-Betrug im Visier Europas

Mehrere Polizeioperationen in Europa haben extrem profitable Finanzbetrugsnetzwerke getroffen und bestätigt, dass Cybercrime inzwischen eine echte Industrie ist. In den Niederlanden und Spanien wurden Netzwerke zerschlagen, die Callcenter,

Mehr lesen

falsche Finanzberater und betrügerische Investmentplattformen betrieben, mit geschätzten Gewinnen von bis zu 100 Millionen Euro pro Monat oder über 140 Millionen Euro insgesamt. Im Vereinigten Königreich wurden fünf Personen wegen eines caller ID spoofing-Dienstes angeklagt, der bei mehr als einer Million betrügerischer Anrufe eingesetzt wurde. Parallel dazu zeigen Threat-Intel-Berichte, dass Tutorials in Underground-Foren zunehmen und Kriminelle bei Phishing, Carding und Cash-out weiter innovieren. Diese Fälle sind relevant, weil sie technische Infrastruktur, Social Engineering und Finanzwäsche in einer einzigen Kette vereinen. Für Verteidiger und Strafverfolgungsbehörden besteht die Herausforderung darin, nicht nur den Zugang, sondern auch die Monetarisierung zu stoppen.

Produkt
Callcenter, Spoofing
Maßnahme
Festnahmen, Beschlagnahmungen
Auswirkung
finanzielle Verluste
Westliche Sanktionen gegen russisches Cyber-ÖkosystemEnforcement
Enforcement

Westliche Sanktionen gegen russisches Cyber-Ökosystem

Die Vereinigten Staaten, die Europäische Union und das Vereinigte Königreich haben ihre Maßnahmen gegen Operatoren und Infrastrukturen verstärkt, die mit russischen Kampagnen von Cyberespionage, Sabotage und Unterstützung von Kriminalität verbunden sind.

Mehr lesen

Zu den Zielen gehören Einzelpersonen und Organisationen mit Verbindungen zum FSB, bulletproof-hosting-Anbieter wie Media Land sowie VPN- oder cryptor-Dienste, die von ransomware affiliate genutzt werden. Die Sanktionen zielen darauf ab, die logistische Unterstützung zu unterbrechen, die es Gruppen wie Scattered Spider, ransomware-Operatoren und staatlichen Akteuren ermöglicht, sich mit größerer Straflosigkeit zu bewegen. Diese Maßnahmen zeigen, dass Cyber Deterrence nicht nur Malware und Schwachstellen betrifft, sondern auch die Unterstützungsunternehmen, die das kriminelle Ökosystem tragfähig machen. Die Relevanz ist hoch, weil sie die Supply Chain des Angriffs trifft und nicht nur die finale Payload. Auch wenn die langfristige Wirksamkeit schwer zu messen ist, signalisiert der koordinierte Druck eine Reifung der geopolitischen Reaktion auf Cybercrime.

Produkt
Hosting, VPN, cryptor
Maßnahme
koordinierte Sanktionen
Auswirkung
Druck auf die Infrastrukturen
ClickFix industrialisiert Phishing und MalwarePhishing
Phishing

ClickFix industrialisiert Phishing und Malware

ClickFix hat sich als einer der effektivsten Social-Engineering-Vektoren der letzten Zeit herauskristallisiert und sich von einem gelegentlichen Trick zu einem industriellen Ökosystem entwickelt, das zur Installation von Malware und zum Diebstahl von Credentials genutzt wird.

Mehr lesen

Die Kampagnen setzen auf gefälschte Seiten, die CAPTCHA, Browser-Updates oder Meeting-Fehler imitieren, und drängen die Opfer dazu, Befehle im Terminal oder im Run-Fenster auszuführen. Microsoft und andere Forscher haben Familien wie ACR Stealer und TELEPUZ beobachtet, die ClickFix verwenden, um Cookies, Token, Dokumente und Enterprise-Credentials zu stehlen. Parallel dazu zeigen verschiedene Analysen, dass auch Angreifer AI integrieren, um glaubwürdigere Lures zu erzeugen und Phasen der Kette zu automatisieren. Das Ergebnis ist eine Bedrohung, die Antivirus und traditionelle Endpoint-Kontrollen oft entgeht, weil sie den Benutzer selbst als Ausführungsmechanismus ausnutzt. Die Relevanz ist hoch, weil die Technik sowohl unter Windows als auch unter macOS funktioniert und weiterhin in unterschiedlichen Kontexten wiederverwendet wird.

Produkt
Terminal, Run-Fenster
Maßnahme
Awareness, Script-Blockierung
Auswirkung
Malware, Account-Diebstahl
Weitere Meldungen