Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch Spionagetools Tools Industrie
MS Exchange Solar Winds RamsonFlicken
Schwach-stellen

Programme
Einfallstor für Schadsoftware : NSA entdeckt Sicherheitslücke bei Windows

Windows 10 hat einen Sicherheitsfehler So schwer die NSA offenbartes
Schwere Citrix-Lücke wird zu immer größerer Gefahr für Unternehmen
Microsoft plaudert versehentlich gefährliche Windows-Lücke aus

Microsoft bringt Update für kritische SMBv3-Sicherheitslücke


Eine Windows Defender-Sicherheits-anfälligkeit wurde 12 Jahre lang
unentdeckt


Vorbemerkungen zur Schwachstelle
Extrem kritische Sicherheitslücke bedroht Internetserver weltweit
Vermehrt Cyberangriffe: IT-Experten warnen vor Sicherheitslücke in Server-Software

BSI: Warnstufe Rot
Sicherheits-Super-GAU: Was ist Log4Shell, und wie geht es weiter?

Experten fürchten verheerende Angriffswelle wegen Sicherheitslücke in Logging-Software Log4j
Die Log4J-Schwachstelle wird das Internet jahrelang heimsuchen
Die nächste Welle von Log4J-Angriffen wird brutal
Schnallen Sie sich für mehr Log4j-Wahnsinn an



Ein Jahr später lauert diese brutale Log4j-Schwachstelle immer noch



 
W I R E D

Sicherheits-News diese Woche: Schnallen Sie sich für mehr Log4j-Wahnsinn an

Sicherheits-News diese Woche: Schnallen Sie sich für mehr Log4j-Wahnsinn an

frau frustriert am laptop
Es fühlt sich an wie Die Welt hat gerade viele Büchsen der Pandora auf einmal geöffnet. Letzte Woche kam eine weitere Krise mit der Enthüllung einer Schwachstelle in der weit verbreiteten Open-Source-Apache-Logging-Bibliothek Log4j in Sicht. Seitdem haben sich Systemadministratoren, Incident Responder und Regierungen bemüht, Patches zu installieren und die Bedrohung zu reduzieren. Der Fehler ist für Angreifer einfach auszunutzen und kann zu einer vollständigen Serverübernahme führen. Das Patchen ist auf dem Vormarsch, aber Apache musste zusätzliche Korrekturen veröffentlichen, die jetzt installiert werden müssen. Nach einigen vorläufigen Sondierungen und Ausbeutung durch Angreifer auf der ganzen Welt bereiten sich die Verteidiger auf eine brutale nächste Welle vor. Und sie sagen, dass anfällige Systeme jahrelang in Netzwerken lauern undnur darauf warten, entdeckt und ausgenutzt zu werden.

In der Zwischenzeit haben Forscher diese Woche die Surveillance-for-Hire-Branche auf Hochtouren gebracht, als Meta die Infrastruktur auf seinen Plattformen von sieben Unternehmen heruntergefahren hat, die mehr als 50.000 Nutzer des Unternehmens und andere ins Visier genommen hatten. Und Googles Project Zero hat eine gründliche technische Analyse des ForcedEntry iOS-Exploits der NSO Group durchgeführt und unterstrichen, wie ausgefeilt die Hacking-Tools einer privaten Organisation sein können. WIRED warf auch einen Blick auf die Wachstumstaktiken der weltweit größten Deepfake-Missbrauchsseite, die KI verwendet, um falsche Nacktbilder zu erzeugen.

Mit all diesen gezielten Hacking- und Fehlinformationen, die herumschwirren, lesen Sie den Leitfaden von WIRED, um sich gegen "Smishing" - oder SMS-Phishing-Angriffe zu verteidigen, die von allen eingesetzt werden, von den elitärsten Hackern bis hin zu gewöhnlichen Spammern.

Und es gibt noch mehr. Jede Woche fassen wir alle Sicherheitsnachrichten zusammen, die WIRED nicht ausführlich behandelt hat. Klicken Sie auf die Überschriften, um die vollständigen Geschichten zu lesen.

DHS erlässt Notfallrichtlinie für US-Bundesbehörden, um Log4j-Fehler zu patchen
Die Cybersecurity and Infrastructure Security Agency des Department of Homeland Security hat am Freitag eine Notfallanweisung herausgegeben, dass alle zivilen Bundesbehörden ihre Systeme bewerten und bis zum 23. Dezember Patches und andere Abhilfemaßnahmen im Zusammenhang mit der Log4j-Schwachstelle anwenden müssen. Die Anordnung verlangt auch, dass die Agenturen CISA bis zum 28. Dezember eine Abrechnung der Namen und Versionen aller ihrer betroffenen Systeme und Details zu den Schutzmaßnahmen, die sie für jede Anwendung eingerichtet haben, zur Verfügung stellen.

"CISA hat festgestellt, dass diese Schwachstelle ein inakzeptables Risiko für die zivilen Exekutivbehörden des Bundes darstellt und Notfallmaßnahmen erfordert", schrieb CISA in der Richtlinie. "Diese Bestimmung basiert auf der aktuellen Ausnutzung dieser Schwachstelle durch Bedrohungsakteure in freier Wildbahn, der Wahrscheinlichkeit einer weiteren Ausnutzung der Schwachstelle, der Prävalenz der betroffenen Software im Bundesunternehmen und dem hohen Potenzial für eine Kompromittierung der Informationssysteme der Behörden."

US-Patent- und Markenamt schaltet digitale Systeme wegen Log4j-Schwachstelle ab
Das Patent- und Markenamt hat den externen Zugriff auf seine Systeme ab Mittwochabend als Vorsichtsmaßnahme als Reaktion auf die Log4j-Schwachstelle für 12 Stunden offline genommen. CISA sagt, dass es keine bestätigten Log4j-Kompromisse von föderalen zivilen Netzwerken gibt und dass bisher keine anderen Agenturen Shutdowns wie die des Patentamts durchgeführt haben. Aber der vorübergehende Takedown spiegelt das extreme Risiko und die Dringlichkeit wider, den Fehler zu beheben. Heimatschutzminister Alejandro Mayorkas sagte am Donnerstag, er sei "außerordentlich besorgt" über die Verwundbarkeit.

Kongress wirft Amazon unvorsichtige Datensicherheit vor
Nach einer Untersuchung des Center for Investigative Reporting und WIRED im vergangenen Monat haben die Gesetzgeber sowohl eine Untersuchung des minderwertigen Datenschutzes von Amazon durch die Federal Trade Commission als auch ein Bundesdatenschutzgesetz gefordert. Der Bericht von WIRED und Reveal zeigte, dass Amazon viele interne Mitarbeiter Kundenbestellungen nach Belieben nachschlagen ließ und dass ein Datenunternehmen in China unter anderem wahrscheinlich Zugriff auf die persönlichen Daten von Millionen von Kunden erhalten hatte. Amazon hat gesagt, dass diese Vorfälle nicht die aktuellen Praktiken widerspiegeln. Aber die Senatoren Ron Wyden (D-Oregon) und Jon Tester (D-Montana) haben zusammen mit mehreren Vertretern auf die Reihe von Misserfolgen als Beweis dafür hingewiesen, dass US-Unternehmen mehr tun müssen, um die Daten ihrer Kunden zu schützen.

Ehemaliger Verteidigungsunternehmer verhaftet, nachdem er angeblich versucht hatte, Staatsgeheimnisse mit Russland zu teilen
Der ehemalige Rüstungsunternehmer John Murray Rowe Jr. wurde am Mittwoch wegen Spionagevorwürfen verhaftet, nachdem das Justizministerium sagte, er habe angeblich "versucht, der russischen Regierung geheime Informationen zur nationalen Verteidigung zur Verfügung zu stellen". Rowe, 63, droht im Falle einer Verurteilung eine Höchststrafe von lebenslanger Haft. Berichten zufolge arbeitete er in seiner 40-jährigen Karriere als Testingenieur für mehrere Verteidigungsunternehmen und verfügte in dieser Zeit über verschiedene Sicherheitsfreigaben von "Secret" bis hin zu "Top Secret" und "Sensitive Compartmented Information". Rowe arbeitete unter anderem an der Luft- und Raumfahrttechnik für die Air Force. Eine Reihe von Sicherheitsverletzungen, die eine mögliche Loyalität zu Russland zeigten, veranlasste die Beamten, Rowe als Insider-Bedrohung zu identifizieren und ihn 2018 als Auftragnehmer zu kündigen. Von dort aus begann das FBI eine Untersuchung, und im März 2020 traf sich Rowe angeblich mit einem verdeckten FBI-Mitarbeiter, der vorgab, ein russischer Regierungsbeamter zu sein. Staatsanwälte sagen, dass er und der Undercover-Agent in über 300 E-Mails korrespondierten, in denen Rowe enthüllte, dass er bereit wäre, für die russische Regierung zu arbeiten, um seine frühere Arbeit zu besprechen und US-Geheimnisse zu stehlen.

Französische Behörden nehmen verdächtigen Angeklagten fest, Ransomware Zahlungen mehr als $ 21 Millionen werte zu waschen
Die französische Polizei nahm einen unbekannten Mann aus südöstlichem Frankreich für das angeblich Waschen von ransomware Zahlungen fest, die mehr als $ 21,4 Millionen betrugen. Verwaltungen benannten nicht die ransomware Bande oder die ransomware Banden, mit denen er angeklagt ist zu kollaborieren. Die Tat kommt auf die Fersen, von einer konzertierten globalen Anstrengung, ransomware Angriffe abzuschrecken und Übeltäter verantwortlich zu machen.


More Great WIRED Stories
���� The latest on tech, science, and more: Get our newsletters!
4 dead infants, a convicted mother, and a genetic mystery
The fall and rise of real-time strategy games
A twist in the McDonald’s ice cream machine hacking saga
The 9 best mobile game controllers
I accidentally hacked a Peruvian crime ring
����️ Explore AI like never before with our new database
✨ Optimize your home life with our Gear team’s best picks, from robot vacuums to affordable mattresses to smart speakers
https://www.wired.com/story/log4j-log4shell-vulnerability-spies-security-roundup/