Cybersecurity Nachrichten

Das Entwicklerteam von Offensive Security hat einen kritischen Vorfall bezüglich der Repository-Schlüssel ihres führenden Security-Testing-Betriebssystems Kali Linux gemeldet. Der bisherige Signaturschlüssel (ED444FF07D8D0BF6) ging verloren, wodurch Nutzer gezwungen sind, einen neu generierten Schlüssel (ED65462EC8D5E4C5) zu implementieren, um die Funktionalität des Update-Systems wiederherzustellen. Technische Analyse des Vorfalls Nach eingehender Untersuchung bestätigt das Security-Team, dass es sich nicht … Weiterlesen

Cybersecurity-Experten haben eine gravierende Sicherheitslücke im populären Strategiespiel StarCraft II identifiziert, die es Angreifern ermöglicht, unauthorisierte Videoinhalte in Multiplayer-Matches einzuschleusen. Die Schwachstelle betrifft insbesondere den Arcade-Modus des Spiels und stellt ein erhebliches Sicherheitsrisiko für alle Nutzer dar. Technische Details der Sicherheitslücke Die Schwachstelle basiert auf einer unzureichenden Eingabevalidierung im Lobby-Benennungssystem des Arcade-Modus. Angreifer können durch … Weiterlesen

Cybersicherheitsexperten von F6 haben eine besorgniserregende Entwicklung aufgedeckt: Eine modifizierte Version der NFCGate-App wird von Cyberkriminellen für ausgeklügelte Betrugsattacken auf Bankkunden missbraucht. Die neue Malware-Variante ermöglicht es Angreifern, Geldtransaktionen an Geldautomaten zu manipulieren, ohne dass physische Helfer vor Ort benötigt werden. Von legitimer Forschungssoftware zur Banking-Malware NFCGate wurde ursprünglich 2015 als legitimes Forschungstool für NFC-Protokollanalysen … Weiterlesen

Sicherheitsforscher von Varonis haben eine kritische neue Angriffstechnik namens „Cookie-Bite“ identifiziert, die es Angreifern ermöglicht, die Multi-Faktor-Authentifizierung (MFA) in Microsoft-Cloud-Diensten zu umgehen. Die Methode nutzt manipulierte Browser-Erweiterungen, um Authentifizierungs-Token zu stehlen und unbefugten Zugriff auf geschäftskritische Ressourcen zu erlangen. Technische Details der Cookie-Bite Angriffsmethode Der Angriff basiert auf einer speziell entwickelten Chrome-Erweiterung, die gezielt zwei … Weiterlesen

Cybersecurity-Experten haben zwei kritische Sicherheitslücken im Open-Source-Passwortmanager Vaultwarden identifiziert, der als Alternative zum bekannten Bitwarden-System entwickelt wurde. Die Entdeckung ist besonders brisant, da Prognosen zufolge bis 2025 etwa 10% der Unternehmen diese Lösung für ihr Passwort-Management implementieren wollen. Analyse der entdeckten Schwachstellen Die erste Schwachstelle (CVE-2025-24365) ermöglicht eine gefährliche Privilegien-Eskalation durch Manipulation der Organisations-IDs. Angreifer … Weiterlesen

Cybersicherheitsexperten haben eine kritische Sicherheitslücke im Domain Control Validation (DCV) System des Zertifizierungsdienstleisters SSL.com aufgedeckt. Die Schwachstelle ermöglichte es Angreifern, gültige TLS-Zertifikate für Domains zu erlangen, ohne tatsächliche Kontrolle über diese zu besitzen – ein Umstand, der die Grundprinzipien der Web-Sicherheitsinfrastruktur gefährdet. Technische Details der Sicherheitslücke Der Validierungsprozess für SSL-Zertifikate basiert normalerweise auf einem mehrstufigen … Weiterlesen

Das Federal Bureau of Investigation (FBI) hat eine dringende Warnung herausgegeben, die auf eine neue, hochentwickelte Betrugsmasche hinweist. Cyberkriminelle geben sich als Mitarbeiter des Internet Crime Complaint Center (IC3) aus und haben zwischen Dezember 2023 und Februar 2025 bereits über 100 dokumentierte Betrugsversuche durchgeführt. Diese koordinierte Kampagne zielt speziell auf Personen ab, die bereits Opfer … Weiterlesen

Cybersicherheitsforscher des Unternehmens Human haben eine weitreichende Betrugsoperation namens „Scallywag“ aufgedeckt, die mittels manipulierter WordPress-Plugins täglich bis zu 1,4 Milliarden betrügerische Werbeaufrufe generierte. Die Angreifer nutzten ein Netzwerk von 407 kompromittierten Domains, um illegale Inhalte zu monetarisieren. Sophistizierte Betrugsinfrastruktur durch WordPress-Plugins Die Cyberkriminellen implementierten ein „Fraud-as-a-Service“ (FaaS) Modell unter Verwendung von vier spezialisierten WordPress-Plugins: Soralink … Weiterlesen

Sicherheitsforscher des Unternehmens Eclypsium haben eine kritische Schwachstelle (CVE-2024-54085) in ASUS-Serverkomponenten identifiziert. Die Sicherheitslücke betrifft die weitverbreitete MegaRAC Baseboard Management Controller (BMC) Software von American Megatrends International (AMI) und ermöglicht Angreifern die vollständige Fernsteuerung betroffener Systeme. Technische Details und Angriffsszenarien Die Schwachstelle manifestiert sich im Redfish-Management-Interface des BMC und eröffnet verschiedene Angriffsvektoren. Besonders besorgniserregend ist … Weiterlesen

Google verzeichnet einen dramatischen Anstieg bei der Bekämpfung betrügerischer Werbepraktiken, wie aus dem aktuellen Sicherheitsbericht 2024 hervorgeht. Der Tech-Gigant sperrte 39,2 Millionen Werbekonten – eine dreifache Steigerung gegenüber den 12,7 Millionen Sperrungen im Vorjahr. Zusätzlich wurden 5,1 Milliarden Werbeanzeigen blockiert, die gegen die Unternehmensrichtlinien verstießen. Präventive Maßnahmen zeigen Wirkung Besonders bemerkenswert ist die Effizienz der … Weiterlesen