• · ·

    Shellshock-Angriffe sind wieder auf dem Vormarsch – was Sie jetzt wissen müssen

    VonJ. Benjamin Espagné

    Die Shellshock-Schwachstelle, auch bekannt als Bash-Bug (CVE-2014-6271 und weitere), wurde bereits 2014 entdeckt und gilt damals wie heute als extrem gefährlich; sie ermöglicht Angreifern, beliebigen Code über manipulierte Umgebungsvariablen einzuschleusen, wenn Bash-Skripte etwa in CGI-Anwendungen genutzt werden.

    Bereits 2014 kam es zu einem massiven Aufkommen an Scans, Exploits und Botnetz-Aktivitäten; auch namhafte Ziele wie große Internetplattformen und Regierungsinstitutionen waren betroffen. Trotz der Veröffentlichung von Patches hat sich die Bedrohung bis heute nicht aufgelöst: Laut aktuellen Analysen zielen Angreifer wieder verstärkt auf Organisationen ab, darunter Banken und Finanzdienstleister.

    Nach unseren jüngsten Erhebungen müssen wir warnen: Shellshock-Schwachstellen in Web-Anwendungen werden erneut vermehrt aktiv angegriffen – alte Systemkomponenten bleiben ein Risikofaktor in der Lieferkette.

  • Kritische SAP-Lücke (CVE-2025-42957) aktiv ausgenutzt – wie sollten Sie reagieren?

    VonJ. Benjamin Espagné

    Was war

    SecurityBridge Threat Research Labs entdeckte und meldete am 27. Juni 2025 eine äußerst gefährliche Code­injection-Schwachstelle in SAP S/4HANA (CVE-2025-42957). Die Schwachstelle erhielt einen CVSS-Score von 9,9 (kritisch).

    Betroffen sind sowohl On-Premise als auch Private Cloud Installationen von S/4HANA (S4CORE-Versionen 102–108). Verfügt ein Angreifer über niedrig privilegierte Nutzerkonten, kann er beliebigen ABAP-Code per RFC einschleusen. Damit umgeht er alle Autorisierungskontrollen und legt eine tarnfähige Hintertür – mit potenzieller vollständiger Kompromittierung des Systems. Das umfasst:

    • Manipulation oder Diebstahl von Geschäftsdaten
    • Erstellung von Superuser-Konten (SAP_ALL)
    • Auslesen von Passwort-Hashes
    • Eingriffe in Geschäftsprozesse oder Installation von Ransomware

    Was ist

    SAP brachte bereits am 11./12. August 2025 einen Patch heraus (Security Note 3627998), doch zahlreiche Systeme bleiben weiterhin gefährdet. Die Ausnutzung der Schwachstelle wurde bereits von SecurityBridge verifiziert – sie ist also kein theoretisches Problem mehr, sondern Realität. Die offene Codebasis von ABAP erleichtert zudem das Reverse Engineering der Patches und schafft so zusätzliche Angriffsmöglichkeiten.

    Forschende Sicherheitspartner wie Pathlock und das niederländische NCSC beobachteten bereits Anzeichen für Ausnutzungsversuche. Neben der Einspielung von Patches werden Monitoring-MaßnahmenZugriffsbeschränkungen per UCON und RFC-Beschränkungen empfohlen.

  • Threat Analysis: ToolShell Zero-Day in Microsoft SharePoint – und wie unser SIEM schützt

    VonJ. Benjamin Espagné

    Was war

    Ende Juli 2024 wurde eine neue Zero-Day-Schwachstelle in Microsoft SharePoint bekannt, die unter dem Namen „ToolShell“ diskutiert wird. Angreifer nutzten gezielt die URL-Struktur /_layouts/15/ToolPane.aspx, um über Deserialisierungsfehler Schadcode einzuschleusen. Im Anschluss wurde häufig eine Webshell als .aspx-Datei im SharePoint-Verzeichnis platziert, die den Angreifern dauerhaften Zugriff ermöglichte.

    Die Angriffskette ist typisch für moderne Exploits auf Collaboration-Plattformen:

    • Initialer Exploit über eine fehlerhafte Serverkomponente
    • Dropping einer Webshell ins Webroot
    • Post-Exploitation mit PowerShell, oft Base64-kodiert aus dem Prozess w3wp.exe (IIS-Worker) heraus
    • Zugriff auf Kryptografie-Keys und damit persistente Backdoors

    Was ist

    Microsoft hat zwischenzeitlich Sicherheitsupdates für SharePoint 2019 und die Subscription Edition bereitgestellt, für ältere Versionen (z. B. 2016) gelten gesonderte Workarounds. CISA sowie mehrere Security-Firmen haben Indicators of Compromise (IOCs) und TTP-Beschreibungen veröffentlicht.

    Die Besonderheit: Auch ohne direkten Patch lassen sich die Aktivitäten des Angriffs sehr gut über Logs und Verhaltennachvollziehen. So fallen u. a. auf:

    Ausgehende Netzwerkverbindungen des IIS-Workers unmittelbar nach Dateiänderungen

    Zugriffe auf /_layouts/15/ToolPane.aspx in den IIS-Logs

    Neue .aspx-Dateien im Webroot (\_layouts\15\App_Data)

    w3wp.exe → powershell.exe mit -EncodedCommand

  • ·

    RMM-Systeme im Visier –N-able N-central Schwachstellen

    VonJ. Benjamin Espagné

    Am 15. August 2025 meldete die Shadowserver Foundation, dass über 1.000 N-able N-central Instanzen weltweit noch ungepatcht gegen die Sicherheitslücken CVE-2025-8875 und CVE-2025-8876 waren. N-central ist eine weit verbreitete Lösung für Remote Monitoring und Management (RMM), die vor allem von IT-Dienstleistern genutzt wird, um Kundensysteme zentral zu überwachen und zu administrieren.

    Beide Schwachstellen wurden kürzlich in den Known Exploited Vulnerabilities (KEV)-Katalog der US-Behörde CISA aufgenommen. Damit gilt als bestätigt, dass sie bereits aktiv von Angreifern ausgenutzt werden. Laut Shadowserver sind vor allem die USA, Kanada, die Niederlande und Großbritannien besonders stark betroffen.

    Die Lücken ermöglichen Angreifern eine nicht autorisierte Ausführung von Befehlen auf verwundbaren Systemen. Shadowserver integriert seit Mitte August 2025 die Erkennung dieser CVEs in seine täglichen Scans. Unternehmen, die eine Verwundbarkeitsmeldung erhalten, sollen ihre Systeme dringend überprüfen und umgehend auf die abgesicherte Version N-central 2025.3.1 aktualisieren.

  • Citrix NetScaler CVE-2025-7775: Patching-Fortschritt im Fokus

    VonJ. Benjamin Espagné

    Am 26. August 2025 wurde eine kritische Zero-Day-Sicherheitslücke in Citrix® NetScaler ADC und NetScaler Gateway bekannt (CVE-2025-7775). Es handelt sich um einen Memory Overflow, der eine Remote-Code-Execution (RCE) oder einen Denial-of-Service (DoS) ohne Authentifizierung ermöglicht. Kurz darauf empfahl Citrix dringend, die betroffenen Systeme umgehend zu aktualisieren, da bereits aktive Angriffe in freier Wildbahn bestätigt wurden.

    Die US-Behörde CISA nahm CVE-2025-7775 in ihren Known Exploited Vulnerabilities (KEV)-Katalog auf und setzte eine Frist für alle Bundesbehörden, die Lücke bis zum 28. August 2025 zu schließen.

    Aktuelle Scans von Shadowserver zeigen: Zwar sank die Zahl ungepatchter NetScaler-Instanzen von ursprünglich rund 28.200 auf etwa 12.400 Systeme, doch bleibt das Risiko erheblich. Besonders auffällig ist, dass Europa im Vergleich zu Nordamerika deutlich schneller patcht.

    Dashboards mit Zeitreihen (Stacked oder Overlapping) veranschaulichen den länderübergreifenden Fortschritt. Parallel informieren Shadowserver-Meldungen in sozialen Medien regelmäßig über aktuelle Zahlen und Trends.

  • ·

    Doppeltes Ungemach: Henry Schein gleich zweimal von Ransomware-Angriffen betroffen

    VonJuliane Heinen

    Henry Schein, ein prominenter amerikanischer Gesundheitsriese, der in den Fortune 500 gelistet ist, ist ein wichtiger Anbieter von Produkten und Dienstleistungen in 32 Ländern in Nordamerika und Europa.

    Die Horrorgeschichte für das Unternehmen begann am 15. Oktober, als es zum ersten Mal bekannt gab, dass es als Reaktion auf die anhaltende Cyberattacke einige seiner Systeme vom Netz nahm. Das Unternehmen arbeitete teilweise mit alternativen Kommunikationsmitteln weiter. Doch die Entgegennahme tausender Bestellungen per Telefon und Messenger verlangsamte den Betrieb erheblich.

    Die dreiwöchige Untersuchung des Unternehmens ergab, dass sich die Angreifer Zugang zu sensiblen Daten wie Lieferanteninformationen, Zahlungskartennummern und Bankkontodaten verschafft hatten. Etwa zwei Wochen, nachdem Henry Schein den Angriff bekannt gegeben hatte, bekannte sich die Ransomware-Gruppe BlackCat zu dem Angriff und nahm das Unternehmen in ihre Datenleck-Site auf.

    Henry Schein war in der Lage, die Ursache der Störung zu identifizieren und versuchte, Systeme und Daten selbst wiederherzustellen. Leider griff die BlackCat-Gruppe ebenfalls ein und verschlüsselte die Daten erneut, so dass die Bemühungen des Unternehmens vergeblich waren.

    Es bleibt unklar, ob die Angreifer in der Zwischenzeit im System verblieben sind oder ob es sich um einen zweiten Einbruch handelt. Wichtig ist jedoch, dass das Unternehmen nicht dafür gesorgt hat, dass die Angreifer ferngehalten werden. Es ist sogar gut, dass sie sich so leicht erkennen ließen. In einem anderen Fall könnte eine solche Nachlässigkeit dazu führen, dass Hacker praktisch für immer in interne Systeme eindringen und einen noch größeren Schaden anrichten.

  • · ·

    Phishing wird immer heimtückischer

    VonJuliane Heinen

    Ein neuer Phishing-Angriff namens SocGholish wurde entdeckt. SocGholish zielt auf viele Länder ab, darunter auch Deutschland. Es werden infizierte Websites verwendet, die keinen Verdacht erregen, und selbst Aggregatoren und Google Alert nehmen diese Websites in ihre Mailings auf. Proofpoint (Cybersicherheitsunternhemen) hat bereits etwa 300 solcher Websites entdeckt und die Zahl könnte noch steigen.

  • ·

    Die Gefahren von OneNote-Dokumenten

    VonJuliane Heinen

    Eine neue bösartige OneNote-Datei wurde entdeckt. OneNote-Dokumente sind Microsoft-Produkte und haben die Erweiterung “.one”. Trustwave fand die bösartige “.one”-Datei erstmals Anfang Dezember.

    Die Experten erhielten die Datei mit einer typischen Phishing-E-Mail. Die “.one”-Datei bestand aus bösartigen Skripten, die PowerShell-Befehle enthielten. Diese bestanden aus Anweisungen, um Dateien (sog. Payloads) von der Domain des Bedrohungsakteurs – a0745450[.]xsph[.]ru – herunterzuladen.

    Die Datei lädt andere bösartige Komponenten nicht automatisch herunter. Sie verleitet den Benutzer dazu, die Skriptausführung zu starten, indem er auf die einzige angezeigte Schaltfläche klickt, doch darunter befindet sich ein bösartiges Skript.

    Normalerweise warnt das System den Benutzer vor dem Öffnen einer Ausführungsdatei, aber diese Meldungen werden von den Benutzern häufig ignoriert.

    was der Benutzer sieht
    was wirklich vor sich geht

    Der weitere Weg der Malware ist schwer zu erkennen. Die Forscher behaupten, dass ein Formbook-Trojaner heruntergeladen wird, der aber jederzeit geändert werden kann.

    Formbook selbst ist ein Malware-as-a-Service, aber der gesamte Angriff könnte Teil eines Phishing-as-a-Service-Angriffs sein, worüber wir bereits geschrieben haben. Hierbei ist es wahrscheinlich, dass die Malware Browserdaten stiehlt und Screenshots macht, und die Folgen können mit der Zeit immer größer werden.

    Um die Risiken zu mindern, sollten Sie “.one”-Anhänge besser kennzeichnen, Mitarbeiter über Bedrohungen informieren und eine Mail Security Gateway Regeln konfigurieren. Es handelt sich (noch) nicht um einen typischen Angriff, aber je früher Sie sich vorbereiten, desto sicherer sind Sie.

  • Ein neues Malware-as-a-Service DuckLogs

    VonJuliane Heinen

    Malware-Forscher von Cyble haben einen neuen Malware-as-a-Service namens DuckLogs online entdeckt. Die Webseite behauptet, dass sie bereits über zweitausend Kunden hat, die über sechstausend erfolgreiche Angriffe durchgeführt haben.

    Quelle: cyble.com

    Es wird eine breite Palette von Funktionen angegeben, die es Ihnen ermöglichen, Dateien, E-Mails, Passwörter, Browserverläufe, Krypto-Wallets zu stehlen, die Fernsteuerung von Geräten zu übernehmen und vieles mehr.

    Quelle: cyble.com

    Cyberkriminelle verwenden zahlreiche Techniken, um die Entdeckung zu erschweren. Die Forscher gehen davon aus, dass die Verbreitung dieser Malware über E-Mails erfolgt, aber die Verbreitungskanäle sind nicht darauf beschränkt.

    Wie ähnliche Dienste bieten sie eine breite Palette von Funktionen, die verschiedene Arten von ausgeklügelten Angriffen zu relativ geringen Kosten ermöglichen, selbst für Angreifer ohne ein hohes Maß an Wissen in der Cyberkriminalität. Dadurch erhöht sich die Wahrscheinlichkeit, dass auch Ihr Gerät, Ihr Netzwerk oder Ihr Unternehmen kompromittiert wird, erheblich. Denn jetzt kann jeder ein Hacker werden, der raffinierte Angriffsmethoden anwendet.

    Ein weiteres Merkmal dieses Services ist eine noch größere Funktionserweiterung. Das ist ein Problem, denn wenn ein Hacker die erste Schwelle überwunden hat, kann er fast alle sensiblen Informationen stehlen, vollen Zugriff auf das Gerät erhalten und Sie sogar daran hindern, den Computer zu benutzen.

    Daher ist der Schutz vor dieser Malware äußerst wichtig. Nach den vorliegenden Informationen gibt es mehrere Stellen, an denen Sie sich schützen können.

    Denn es scheint, dass die Verbreitung durch Phishing erfolgt. So kann eine E-Mail mit Malware gefiltert oder ein bösartiger Anhang blockiert werden.

    Dateien, die DuckLogs enthalten oder enthalten könnten, werden untersucht und in die Datenbank aufgenommen, damit sie von Antivirenprogrammen überprüft werden können. Das Problem ist jedoch, dass Angreifer den Code ständig verbessern und verändern können, was die Wirksamkeit dieser Maßnahmen verringert. Selbst wenn ein Antivirenprogramm über eine Datenbank mit allen früheren Versionen dieser Malware verfügt, kann es sein, dass es eine neue Version nicht erkennt.

    Der Virus kann auch durch das Verhalten von Dateien erkannt werden, aber in diesem Fall haben wir eine breite Funktionalität, und daher sehr variables Verhalten. Um diese Malware zu erkennen, muss man daher ein Dutzend Anwendungen konfigurieren, die verschiedene Aspekte des Programmverhaltens auf Verdachtsmomente hin überwachen. Der Vorteil dieses Ansatzes besteht darin, dass die Einrichtung solcher Maßnahmen, ähnlich wie bei der E-Mail-Filterung, weniger von Viren-Updates abhängig ist und auch einen Schutz vor anderen Cyberangriffen bietet.

    Im Gegensatz zu Ransomware kann diese Malware die vollständige Kontrolle über das infizierte Gerät übernehmen. Das macht es viel schwieriger, diese Software zu entfernen, Daten wiederherzustellen und den normalen Betrieb des Geräts zu gewährleisten. Daher ist die Verhinderung der Infizierung eine wichtige Aufgabe.

    Leider nimmt die Anzahl und Raffinessen von Malware nicht ab, was eine höhere Komplexität und eine Ausweitung der Cyberabwehr erfordert. Zum Glück haben Sie uns, wir überwachen die neueste Malware, wenden die wirksamsten Schutzinstrumente an und implementieren sie für Sie.

  • ·

    Alles, was Sie über Zero-Day-Angriffe wissen wollten

    VonJuliane Heinen

    Was ist Zero-Day?

    Eine Zero-Day-Schwachstelle ist eine Software-Schwachstelle, die bereits von Hackern entdeckt wurde. Aber Entwickler und Cybersicherheitsexperten wissen nicht einmal, dass sie existiert. Dementsprechend gibt es kein Update, um die Schwachstelle zu beheben. Das verschafft Angreifern einen deutlichen Vorsprung.

    Ein Zero-Day-Exploit ist ein Programm oder eine Methode, mit der Angreifer eine identifizierte Schwachstelle ausnutzen.

    Ein Zero-Day-Angriff ist die direkte Ausnutzung eines von Hackern entwickelten Exploits. Manchmal können sie es sofort nach der Entwicklung verwenden und müssen nicht auf den richtigen Moment warten. Häufig wird es angewendet, um Daten zu stehlen oder vorübergehend Zugriff auf Server zu erhalten aber auch um sie zu infizieren und damit Angriffe weiter auszudehnen.

    Hacker haben in jedem Fall einen deutlichen Vorsprung, der ihnen die Möglichkeit gibt, Angriffe mit hoher Erfolgswahrscheinlichkeit durchzuführen. Oder sie verkaufen diese Informationen über neu entdeckte Schwachstellen für viel Geld auf dem Schwarzmarkt.

    Wie kann man erkennen, dass man Opfer eines Zero-Day-Angriffes ist?

    Obwohl Sie die Existenz einer Schwachstelle möglicherweise nicht vermuten, verfügen Sie über das Wissen, wie Ihre IT-Infrastruktur unter normalen Bedingungen funktioniert. Machen Sie sich dazu regelmäßig mit den Systemstatistiken vertraut.

    Ungewöhnliches Verhalten und Leistungsindikatoren dieser Systeme zeigen Ihnen, dass etwas nicht stimmt. Denn Viren können nicht völlig unbemerkt im Umlauf sein. Das Problem kann jedoch sein, dass die Änderungen geringfügig sind oder der Virus recht schnell ausgeführt wird.

    Ein weiteres nützliches Element sind Antivirenprogramme und Datenbanken mit vorhandenen Viren. Wie wir bereits gesagt haben, werden Viren nicht spurlos ausgeführt. Sie können aber auch nach einem typischen Szenario ausgeführt werden, das von einem Antivirusprogramm erkannt werden sollte. Durch den Vergleich des Verhaltens unbekannter Schadsoftware mit bereits vorhandener soll das Antivirusprogramm deren Betrieb blockieren oder zumindest vor der Bedrohung warnen. Diese Programme arbeiten automatisch und sind in der Lage, die Systemleistung in Echtzeit zu bewerten. Ein solcher Schutz kann Sie effektiv vor einem möglichen Angriff warnen, aber leider ist es unwahrscheinlich, dass er Sie schützen kann.

    Wie Sie das Risiko einer 0-Day-Attacke reduzieren können?

    Überwachen Sie, wie oben bereits angedeutet, den Betrieb Ihrer Systeme und achten Sie auf ungewöhnliches Verhalten.

    Implementieren Sie ein Patch-Management-System. Die neuesten Programmversionen sind in der Regel die sichersten. Selbst wenn Unternehmen ein unsicheres Update veröffentlichen, wird dessen Sicherheit ziemlich schnell gepatcht. Deshalb sollten Sie so schnell wie möglich aktualisieren.

    Es ist notwendig, einen Aktionsplan zu haben, falls ein Zero-Day-Angriff auf Sie erfolgreich ist. Hauptsächlich verpflichtet es Sie, regelmäßig Backups aller Daten, Websites usw. anzufertigen. Es ist auch ratsam, im Voraus zu wissen, wie Sie den entspechenden Dienstleister kontaktieren können, sodass Ihre Systeme schnellstmöglich wiederhergestellt werden können.

    Verwenden Sie Firewalls und Antivirenprogramme. Damit können Sie im Idealfall sogar neue Angriffe erkennen. Beide sollten dafür vernünftig konfiguriert sein.

    Entfernen Sie Anwendungen, die Sie selten oder nicht verwenden, von Ihren Geräten. Sie können zu einem Einstiegspunkt für Angreifer werden. Ebenso sollten Sie alte Anwendungen, welche nicht mehr regelmäßig Sicherheitsupdates erhalten, aus Ihren Systemen ausschließen. Wechseln Sie zu einer neuen Alternative oder geben Sie sie auf. Neue Alternativen werden besser geeignet sein, um vor neuer Malware zu schützen.

    Wie Neosec Ihnen helfen kann, sicher zu bleiben?

    Die oben genannten Maßnahmen werden Ihre Sicherheit nur geringfügig verbessern oder vor einem möglichen 0-Day-Angriff warnen können. Professionelles Setup, individuelles Schutzdesign und Tracking durch Cybersicherheitsexperten ermöglicht Ihnen, selbst diese Arten von Angriffen zu blockieren und die Wahrscheinlichkeit zu verringern, dass Ihre Systeme solchen Angriffen ausgesetzt sind.

    Wir erkennen ungewöhnliche Aktivitäten nicht nur durch automatisierte Methoden, sondern prüfen jede dieser Warnungen auch einzeln. Und dafür verwenden wir komplexere Tools zur tieferen Verifizierung von Systemen.

    Wir implementieren ein zentralisiertes automatisches Patch-Management. Alle Ihre Geräte verfügen über die neuesten Versionen der Programme, ganz ohne Ihr mitwirken. Wir können Sie auch darüber beraten, welche Programme Sie vermeiden sollten und welche sichereren Alternativen es gibt.

    Wir passen den Zugang Ihrer Mitarbeiter zu IT-Systemen nach ihren Bedürfnissen an. Ein erfolgreicher Angriff auf einen bestimmten Mitarbeiter oder sogar eine ganze Abteilung betrifft also nur deren Systeme und nicht das Unternehmen als Ganzes.

    Unsere Erfahrung in der Arbeit mit Firewalls und Antivirenprogrammen ermöglicht es Ihnen, diese richtig zu konfigurieren und die besten für Sie auszuwählen.

    Auch im Falle eines erfolgreichen Angriffs haben Sie alles bereit, um die Arbeit schnellstmöglich wieder aufzunehmen. Bei Bedarf kann für Kunden ein vollständig unterbrechungsfreier Betrieb eingerichtet werden.

    Was ist, wenn nichts getan wird?

    Auf die Produkte großer Konzerne können Sie sich nach wie vor verlassen, in der Hoffnung, dass diese Produkte vollständig geschützt sind. Aber in den letzten drei Jahren sind Apple, Google, Microsoft, Zoom und andere erfolgreich solchen Angriffen erlegen. Ihre Systeme sind sperrig und komplex, was ihren Schutz zu einer äußerst schwierigen Aufgabe macht. Dies verursacht periodische Löcher in der Abwehr. Ihr Schutz hat für sie möglicherweise nicht immer Priorität.

Keine weiteren News.

Keine weiteren News.

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse