Unternehmen, die nach ISO 27001 zertifiziert sind oder die Zertifizierung anstreben, müssen sich künftig intensiv mit der Prävention von Datenabflüssen (Data Leakage Prevention, DLP) befassen.
TECHNOLOGY POWERING BUSINESS
IT-News Sicherheit
Studie: Microsoft-Schwachstellen erreichen Allzeithoch
Im Jahr 2022 erfasst BeyondTrust ingesamt 1292 Anfälligkeiten in Software von Microsoft. Allein in Windows Server sind es 552 Schwachstellen. Der Anteil der kritisch bewerteten Bugs ist indes rückläufig.
Microsoft startet Bug-Prämienprogramm für das neue Bing
Sicherheitsforscher können ab sofort Fehlerberichte mit Proof-of-Concept für Schwachstellen in Bing Chat einreichen. OpenAI bietet ein ähnliches Prämienprogramm schon seit mehreren Wochen an.
AI-Tool knackt gängige Passwörter in Sekunden
Das Tool PassGAN analysiert 15,6 Millionen Kennwörter aus echten Datenlecks. Für achtstellige Passwörter mit Zahlen und großen und kleinen Buchstaben benötigt es weniger als eine Stunde.
April-Patchday: Google schließt 68 Sicherheitslücken in Android
Android 11, 12, 12L und 13 sind angreifbar. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und ausführen.
Google warnt vor Zero-Day-Lücken in Smartphones von Samsung und Google
Betroffen sind Pixel 6 und 7 sowie Galaxy S22 und A53. Unbefugte können nur mit Kenntnis einer Telefonnummer auf Anrufe und Textnachrichten zugreifen.
Umfrage: Nutzer stufen Biometrie sicherer als Passwörter ein
Ein Problem mit Passwörtern ist: Sie werden häufig vergessen. Deswegen halten Nutzer auch PIN-Codes für sicherer als Passwörter.
Chrome 111 schließt 40 Sicherheitslücken
Das Update beseitigt mindestens acht Anfälligkeiten mit einem hohen Sicherheitsrisiko. Sicherheitsforscher belohnt Google mit insgesamt 92.000 Dollar für die von ihnen eingereichten Fehlerberichte.
Neue Variante des Emotet-Trojaners setzt auf “aufgeblähte” Office-Dateien
Sie verstecken sich in einer kleinen ZIP-Datei und sind mehr als 500 MByte groß. Emotet setzt darauf, dass Sicherheitsanwendungen nur den Anfang von großen Dateien scannen.
Acer bestätigt Hackerangriff
Unbekannte erbeuten rund 160 GByte Daten. Laut Acer sind keine Informationen von Kunden betroffen. Der Täter bietet die Daten in einem Cybercrime-Forum zum Kauf an.
Twitter streicht kostenlose Zwei-Faktor-Authentifizierung per SMS
Nutzer der Anmeldung in zwei Schritten müssen bis 19. März auf eine andere Methode umsteigen. Twitter erlaubt ihnen weiterhin die Nutzung eines Hardware-Schlüssels oder einer App zu Generierung von Einmalkennwörtern.
Citrix schließt schwerwiegende Sicherheitslücken in Workspace und Virtual Apps
Die Schwachstellen erlauben unter anderem eine nicht autorisierte Ausweitung von Benutzerrechten. Auch die Übernahme eines ungepatchten Systems ist möglich.
Firefox 110 erhält GPU-Sandboxing für Windows
Unter macOS und Linux unterstützt der Browser nun GPU-Beschleunigung für Canvas2D. Außerdem importiert Firefox 110 nun Browserdaten von Opera und Vivaldi.
Microsoft überwacht 100 aktive Ransomware-Gruppen
Sie greifen ihre Opfer mit mehr als 50 Ransomware-Familien an. Zugang zu Netzwerken erhalten die Cyberkriminellen häufig per Phishing. Ransomware-as-a-Service trägt zum Erfolg des Geschäftsmodells Cybererpressung bei.
Nach Hackerangriff: GoTo setzt einige Kundenpasswörter zurück
Hackern gelingt es offenbar, Teile der kompromittierten Backups zu entschlüsseln. Sie enthalten auch Passwörter von Kunden, die jedoch per Salt and Hash geschützt sind.
Nach Hackerangriff: PayPal meldet Verlust von Kundendaten
Es sind rund 35.000 Konten betroffen. Unbekannte erbeuten Namen, Anschriften und Sozialversicherungsnummern, aber keine Finanzdaten. Auslöser ist ein Credential-Stuffing-Angriff.
Studie: Ein Drittel der deutschen Angestellten gefährdet die IT-Sicherheit des Unternehmens
Der Anteil der Mitarbeiter mit geringer oder sehr geringer Kompetenz im Bereich IT-Sicherheit steigt deutlich. Nur noch 27 Prozent sprechen sich selbst ein hohe oder sehr hohe Kompetenz zu.
Twitter: Datenleck nicht auf Systemfehler zurückzuführen
Ein geringer Teil der aktuell angebotenen Daten stammt jedoch aus einem früheren Sicherheitsvorfall. Twitter geht davon aus, dass der Leak aus bereits öffentlich verfügbaren Quellen zusammengetragen wurde.
Android-Malware: BaFin warnt vor Godfather
Der Trojaner attackiert auch Apps von deutschen Finanzdienstleistern. Godfather fängt Log-in-Daten und auch SMS und Benachrichtigungen für eine Zwei-Faktor-Authentifizierung ab.
Hacker veröffentlichen E-Mail-Adressen von mehr als 200 Millionen Twitter-Nutzern
In einem Hacker-Forum werden insgesamt 235 Millionen Daten von Twitter-Nutzern angeboten. Laut Sicherheitsexperte Troy Hunt sind rund 98 Prozent der E-Mail-Adressen bereits in älteren Leaks enthalten.
Emisoft: Ransomware bleibt ernste Bedrohung für öffentlichen Sektor
In den USA werden 2022 fast 2000 Schulen Opfer von Ransomware-Angriffen. Das entspricht einem Plus von fast 100 Prozent gegenüber dem Vorjahr. Auch lokale Behörden werden häufiger das Ziel von Cybererpressern.
Mehr als 60.000 Exchange-Server anfällig für ProxyNotShell-Angriffe
Die Zahl sinkt seit Mitte Dezember um rund 23.000. Ein Patch steht bereits seit Anfang November zur Verfügung.
LastPass: Hacker erbeuten auch Passwort-Tresore von Kunden
Die Tresore enthalten auch nicht verschlüsselte Daten. Die liegen jedoch in einem proprietären Format vor. LastPass betont, dass alle Kennwörter durch eine 256-Bit-AES-Verschlüsselung gesichert sind.
Angreifer schleusen QBot-Malware per SVG-Dateien in Windows-Systeme ein
Die Hintermänner nutzen eine HTML-Smuggling genannte Technik. Ein Dateianhang im HMTL-Format enthält eine SVG-Datei, in der der eigentliche Schadcode versteckt ist.
iOS 16.2: Notruf via Satellit und Patches für 46 Sicherheitslücken
Nutzer erhalten außerdem die neue App Freeform und die neue Funktion Apple Music Sing. Apple erweitert iOS 16.2 auch um die neuen Widgets Schlafen und Medikamente.
Microsoft schließt sechs kritische Sicherheitslücken
Der Dezember-Patchday bringt zudem einen Fix für eine Zero-Day-Lücke. Insgesamt beseitigt Microsoft 56 Anfälligkeiten. Betroffen sind unter anderem Windows, Edge, Office, SharePoint, Azure und Hyper-V.
Fortinet stopft Zero-Day-Lücke in FortiOS SSL-VPN
Hackern nutzen die Schwachstelle bereits aktiv aus. Nicht authentifizierte Angreifer können Schadcode aus der Ferne einschleusen und ausführen.
Neue Cyber-Angriffstechnik stiehlt Daten von Air-gapped-Systemen
Die Angreifer nutzen vom Ziel-System erzeugte elektromagnetische Strahlung. Sie benötigen jedoch physischen Zugriff auf das zu kompromittierende System.
Apple kündigt neue Datenschutzfunktionen für die Cloud an
Ende-zu-Ende-Verschlüsselung bietet Apple künftig auch für Backups und Fotos an. Zudem unterstützt die Apple ID ab kommenden Jahr Hardware-Sicherheitschlüssel.
Pwn2Own 2022: Drucker, Router und Samsung Galaxy S22 gehackt
Neu ist die Kategorie SOHO Smashup. Hacker verknüpfen Schwachstellen in unterschiedlichen Office-Geräten, um beispielsweise über einen Router einen Drucker anzugreifen.