Advisory
Advisory
Neben dem Microsoft Patch Tuesday sind in dieser Woche zahlreiche Security-Updates für weit verbreitete Produkte wie Chrome, Firefox, Adobe, VMware, Zoom, Citrix, Cisco, IBM WebSphere, Splunk und andere erschienen.
Mehr lesen
Google hat mehrere Schwachstellen in Chrome behoben, darunter kritische und hochschwere Lücken, während Mozilla zwei kritische Bugs behoben hat, die bereits aktiv ausgenutzt wurden. ACN und andere Quellen haben Schwachstellen in Enterprise-Produkten wie Cisco RoomOS, IBM WebSphere, Splunk und Citrix gemeldet, oft mit Auswirkungen auf Authentifizierung, Zugriff auf sensible Informationen oder beliebiges Schreiben von Dateien. Diese Art von Patch-Welle ist relevant, weil sie Software-Schichten trifft, die als Einstiegspunkt, Kollaborationskanal oder Plattformkomponente genutzt werden. Organisationen, die sekundäre Vendoren ignorieren, riskieren exponierte Angriffsflächen, selbst wenn sie die wichtigsten Betriebssysteme bereits abgesichert haben. Die Lehre daraus ist, dass remediation Multi-Vendor-übergreifend und koordiniert erfolgen muss und nicht nur auf Endpoints beschränkt sein darf.
- Produkt
- Chrome, Firefox, VMware
- Schweregrad
- kritisch, hoch
- Maßnahme
- alle Vendoren aktualisieren
- Auswirkung
- Zugriff, Dateien, Daten
Zero-day
Zero-day
SonicWall hat die aktive Ausnutzung von zwei zero-day-Schwachstellen bestätigt, die SMA-1000-Appliances betreffen, und damit Kunden gezwungen, sofort zu aktualisieren und nach Anzeichen einer Kompromittierung zu suchen.
Mehr lesen
Zu den Lücken gehören CVE-2026-15409, eine kritische SSRF, die es einem nicht authentifizierten Remote-Angreifer ermöglicht, das Gerät zu Anfragen an beliebige Ziele zu zwingen, sowie CVE-2026-15410, eine post-authentication code injection-Schwachstelle, die zur Ausführung von Befehlen auf dem Betriebssystem führen kann. Die Reaktionshinweise sind streng: Wenn IoC auftauchen, empfiehlt SonicWall ein re-image der Hardware-Appliances oder die Neuverteilung der virtuellen Instanzen sowie das Zurücksetzen von Passwörtern und TOTP-Token. Der Schweregrad ist hoch, weil SMA 1000 häufig als Remote-Access-Punkt für Benutzer und Administratoren verwendet wird, sodass eine Kompromittierung das interne Netzwerk öffnen kann. Die Kampagne ist besonders besorgniserregend, weil sie zwei komplementäre Vektoren kombiniert, einen pre-auth und einen post-auth, und damit die Exploit-Möglichkeiten in realen Szenarien erweitert. Für Verteidiger ist dies kurzfristig eine Priorität für patching und hunting.
- CVE
- CVE-2026-15409, 15410
- Produkt
- SonicWall SMA 1000
- Schweregrad
- kritisch, hoch
- Maßnahme
- update, re-image, reset
Supply chain
Supply chain
Die AsyncAPI-Organisation wurde über GitHub Actions kompromittiert und veröffentlichte daraufhin bösartige Versionen mehrerer stark heruntergeladener npm-Pakete. Die infizierten Versionen führten eine install-time-Payload und Code ein, der
Mehr lesen
in der Lage war, Credentials, Token, SSH-Keys, Crypto-Wallets und Cloud-Secrets zu stehlen, und trafen damit ein Ökosystem mit mehr als zwei Millionen wöchentlichen Downloads. Microsoft beschrieb den Angriff als Kompromittierung der CI/CD, die genutzt wurde, um Malware über vertrauenswürdige Software zu verteilen, und hob hervor, wie mächtig die Build-Chain als Einstiegspunkt ist. Das Ereignis ist nicht nur für Entwickler relevant, die diese Pakete nutzen, sondern für alle Organisationen, die npm und automatisierte Workflows als vertrauenswürdige Kanäle behandeln. Die Kombination aus Supply-Chain-Compromise, Trust Abuse und der Persistence der Payload macht den Fall zu einem klassischen Beispiel für systemisches Risiko. Es ist auch ein starkes Signal dafür, dass populäre Dependencies ein vorrangiges Ziel für Angreifer bleiben.
- Produkt
- AsyncAPI-npm-Pakete
- Maßnahme
- Secrets rotieren, Audit
- Auswirkung
- Credential-Diebstahl, Malware
Authentifizierung
Authentifizierung
Kampagnen zum Account Takeover entwickeln sich von einfachem Password Spraying hin zur Manipulation von OAuth- und device-code-Flows. Proofpoint und Microsoft haben beschrieben, wie client ID spoofing in Entra ID die Enumerierung von Accounts oder das Ableiten des Authentifizierungsstatus ermöglicht, ohne ein klassisches erfolgreiches sign-in zu erzeugen.
Mehr lesen
Eine weitere Studie zeigte einen „confused deputy“ in Google IdP durch device-code-flow-hijacking, mit der Möglichkeit, Sessions zu übertragen und zu unsichtbaren Takeovers zu gelangen. Diese Vektoren sind sehr wichtig, weil sie einen Teil der traditionellen Telemetrie umgehen und die Logik des Identity Providers selbst ausnutzen. Parallel dazu verwenden Kampagnen wie Forg365 und EvilTokens device-code-Phishing und Session-Theft, um persistente Zugriffe auf Microsoft 365 aufrechtzuerhalten. Das Ergebnis ist eine Bedrohung, die nicht mehr nur von schwachen Passwörtern abhängt, sondern davon, wie Authentifizierungsprotokolle implementiert und geloggt werden.
- Produkt
- Entra ID, Google IdP
- Maßnahme
- OAuth und Flows überwachen
- Auswirkung
- stealthy Account Takeover
Firmware
Firmware
Forscher von ESET und Binarly haben hervorgehoben, dass mehrere ältere, von Microsoft signierte UEFI-shim weiterhin zum Umgehen von Secure Boot verwendet werden können. Die Schwachstellen betreffen Bootloader und Startkomponenten, die trotz Widerruf oder Fixes ein Risiko bleiben, wenn sie noch in der Boot-Chain oder in Recovery-Images vorhanden sind.
Mehr lesen
Das Problem ist gravierend, weil es ermöglicht, das Vertrauen auf Firmware-Ebene zu kompromittieren, bevor das Betriebssystem Security-Kontrollen anwenden kann. Verschiedene Quellen bringen die Entdeckung mit 11 verwundbaren shim und mehreren Schwachstellen in U-Boot in Verbindung, mit Auswirkungen auf Router, embedded devices und kritische Infrastrukturen. Dadurch erweitert sich die Bedrohung über PCs hinaus: Auch Smart-Kameras, Controller und Netzwerkgeräte können zu Vektoren für stealthy Persistence werden. Die Folge ist eine dringende Überprüfung von Secure-Boot-Baselines, Widerrufen und Firmware-Updates.
- Produkt
- UEFI-shim, U-Boot
- Maßnahme
- Widerrufe, Firmware-Update
- Auswirkung
- Secure-Boot-Bypass
Ransomware
Ransomware
Die Angriffe auf Nichirei in Japan und fairlife, das Molkereigeschäft von Coca-Cola in den Vereinigten Staaten, zeigen, wie sich Cyber Risk schnell in Produktionsstopps übersetzen kann.
Mehr lesen
Nichirei erlitt einen Angriff, der Logistik und Versand blockierte, während fairlife nach einem ransomware-Vorfall, der produktionsnahe Systeme betraf, einen Teil der US-Produktion aussetzte. Beide Fälle verdeutlichen, dass der Schaden nicht nur informativ ist: Wenn operative Systeme getroffen werden, werden industrielle Kontinuität und Kundenversorgung unterbrochen. In keinem der Fälle gab es zumindest in den ersten Berichten vollständige öffentliche Zuschreibungen oder gesicherte Details zur ransomware group. Dennoch zeigt die Aussage, dass Produktqualität und -sicherheit intakt bleiben, während die Operations stillstehen, den typischen Trade-off cyber-industrieller Krisen. Für Unternehmen in Manufacturing und Food Chain ist operative Resilienz inzwischen eine echte Security-Maßnahme.
- Produkt
- Nichirei, fairlife
- Maßnahme
- Containment, Kontinuität
- Auswirkung
- Produktionsstopp, Versandstopp
Frodi
Frodi
Mehrere Polizeioperationen in Europa haben extrem profitable Finanzbetrugsnetzwerke getroffen und bestätigt, dass Cybercrime inzwischen eine echte Industrie ist. In den Niederlanden und Spanien wurden Netzwerke zerschlagen, die Callcenter,
Mehr lesen
falsche Finanzberater und betrügerische Investmentplattformen betrieben, mit geschätzten Gewinnen von bis zu 100 Millionen Euro pro Monat oder über 140 Millionen Euro insgesamt. Im Vereinigten Königreich wurden fünf Personen wegen eines caller ID spoofing-Dienstes angeklagt, der bei mehr als einer Million betrügerischer Anrufe eingesetzt wurde. Parallel dazu zeigen Threat-Intel-Berichte, dass Tutorials in Underground-Foren zunehmen und Kriminelle bei Phishing, Carding und Cash-out weiter innovieren. Diese Fälle sind relevant, weil sie technische Infrastruktur, Social Engineering und Finanzwäsche in einer einzigen Kette vereinen. Für Verteidiger und Strafverfolgungsbehörden besteht die Herausforderung darin, nicht nur den Zugang, sondern auch die Monetarisierung zu stoppen.
- Produkt
- Callcenter, Spoofing
- Maßnahme
- Festnahmen, Beschlagnahmungen
- Auswirkung
- finanzielle Verluste
Enforcement
Enforcement
Die Vereinigten Staaten, die Europäische Union und das Vereinigte Königreich haben ihre Maßnahmen gegen Operatoren und Infrastrukturen verstärkt, die mit russischen Kampagnen von Cyberespionage, Sabotage und Unterstützung von Kriminalität verbunden sind.
Mehr lesen
Zu den Zielen gehören Einzelpersonen und Organisationen mit Verbindungen zum FSB, bulletproof-hosting-Anbieter wie Media Land sowie VPN- oder cryptor-Dienste, die von ransomware affiliate genutzt werden. Die Sanktionen zielen darauf ab, die logistische Unterstützung zu unterbrechen, die es Gruppen wie Scattered Spider, ransomware-Operatoren und staatlichen Akteuren ermöglicht, sich mit größerer Straflosigkeit zu bewegen. Diese Maßnahmen zeigen, dass Cyber Deterrence nicht nur Malware und Schwachstellen betrifft, sondern auch die Unterstützungsunternehmen, die das kriminelle Ökosystem tragfähig machen. Die Relevanz ist hoch, weil sie die Supply Chain des Angriffs trifft und nicht nur die finale Payload. Auch wenn die langfristige Wirksamkeit schwer zu messen ist, signalisiert der koordinierte Druck eine Reifung der geopolitischen Reaktion auf Cybercrime.
- Produkt
- Hosting, VPN, cryptor
- Maßnahme
- koordinierte Sanktionen
- Auswirkung
- Druck auf die Infrastrukturen
Phishing
Phishing
ClickFix hat sich als einer der effektivsten Social-Engineering-Vektoren der letzten Zeit herauskristallisiert und sich von einem gelegentlichen Trick zu einem industriellen Ökosystem entwickelt, das zur Installation von Malware und zum Diebstahl von Credentials genutzt wird.
Mehr lesen
Die Kampagnen setzen auf gefälschte Seiten, die CAPTCHA, Browser-Updates oder Meeting-Fehler imitieren, und drängen die Opfer dazu, Befehle im Terminal oder im Run-Fenster auszuführen. Microsoft und andere Forscher haben Familien wie ACR Stealer und TELEPUZ beobachtet, die ClickFix verwenden, um Cookies, Token, Dokumente und Enterprise-Credentials zu stehlen. Parallel dazu zeigen verschiedene Analysen, dass auch Angreifer AI integrieren, um glaubwürdigere Lures zu erzeugen und Phasen der Kette zu automatisieren. Das Ergebnis ist eine Bedrohung, die Antivirus und traditionelle Endpoint-Kontrollen oft entgeht, weil sie den Benutzer selbst als Ausführungsmechanismus ausnutzt. Die Relevanz ist hoch, weil die Technik sowohl unter Windows als auch unter macOS funktioniert und weiterhin in unterschiedlichen Kontexten wiederverwendet wird.
- Produkt
- Terminal, Run-Fenster
- Maßnahme
- Awareness, Script-Blockierung
- Auswirkung
- Malware, Account-Diebstahl