< Zurück
News

HiSolutions Cybersecurity Digest April 2025

Security Consulting , Cybersecurity Newsletter

 

Liebe Leserinnen und Leser,

auch diesen Monat ist wieder viel passiert: Neben politisch brisanten Themen und apokalyptischen Sicherheitsmeldungen haben wir auch einen technischen Beitrag zu EDR-Systemen und deren Manipulation dabei.

Alle News dieser Ausgabe:

  • Signalgate
  • Kritische Schwachstelle in Ivanti ICS
  • Gmails neue E2EE-Funktion
  • Kommandozeilenargumente und EDR-Erkennung

Wir wünschen Ihnen wie immer viel Spaß beim Lesen und freuen uns über Ihre Rückmeldungen!

Mit besten Grüßen
Holger von Rhein & Abraham Söyler

 

HiSolutions IT-Sicherheit Digest Top-Thema

Signalgate

Die sogenannte Signal-Affäre hat in den letzten Wochen für erhebliche Aufregung in Washington gesorgt. Ein angesehener US-Journalist, Jeffrey Goldberg, wurde versehentlich in einen vertraulichen Signal-Chat der US-Regierung eingeladen, in dem hochrangige Regierungsvertreter militärische Operationen im Jemen diskutierten. Die Frage, die sich in diesem Zusammenhang stellt, ist, wie es zu diesem sicherheitsrelevanten Fauxpas kommen konnte. Wir können guten Gewissens ausschließen, dass es sich um einen Hack oder eine schadhafte Funktion in der Signal-App gehandelt hat, wie es von Seiten der amerikanischen Regierung anfänglich angedeutet wurde.

Der Signal-Messenger hat eine Schwäche im Design: Die Überprüfung, ob der Gesprächspartner tatsächlich derjenige ist, mit dem man kommunizieren möchte, liegt in der Verantwortung des Benutzers. Dies bedeutet, dass keine Sicherheitsgarantie für die Authentizität des Kommunikationspartners besteht. Signal bietet seinen Nutzern jedoch die Möglichkeit, die Authentizität ihrer Kommunikationspartner selbst zu überprüfen und dann in Signal zu vermerken. Diese Funktion wird jedoch in der Benutzeroberfläche nicht so prominent dargestellt wie beispielsweise bei Threema mit dem Ampelsystem. Erst durch die Überprüfung der Sicherheitsnummer über einen zweiten Kanal wird die Authentizität des Kommunikationspartners sichergestellt.

Die Nachlässigkeit, die Sicherheitsnummer nicht überprüft zu haben, wurde dem nationalen Sicherheitsberater Mike Waltz zum Verhängnis, da er die Personen nur aufgrund der in seinem Handy gespeicherten Telefonnummern in die betroffene Signal-Gruppe aufnahm. Aktuellen Berichten zufolge hat das Mobiltelefon von Mike Waltz die Telefonnummer von Jeffrey Goldberg aufgrund eines Fehlers in der automatischen Kontaktverknüpfung des iPhones einem bestehenden Kontakt zugeordnet.

Nicht ohne Grund gibt es für die Kommunikation, bei der nicht nur Nachrichten sicher verschlüsselt übertragen werden sollen, sondern auch die Authentizität aller Kommunikationsteilnehmenden zuverlässig und dauerhaft sichergestellt sein muss, zertifizierte Lösungen, die zentral von einer der Geheimhaltungsstufe entsprechenden vertrauenswürdigen Stelle betrieben werden. Diese Stelle übernimmt auch die Registrierung und Prüfung der Authentizität von Teilnehmenden. Warum eine solche Kommunikationsplattform in diesem Fall nicht verwendet wurde, darüber kann nur spekuliert werden.

https://t3n.de/news/geheimchat-affaere-usa-signal-gewinner-1680595

https://www.br.de/nachrichten/deutschland-welt/signal-affaere-pentagon-ermittelt-gegen-eigenen-chef-hegseth

https://www.heise.de/news/Signal-Affaere-US-Journalist-angeblich-dank-iOS-Funktion-in-geheimem-Gruppenchat-10342141.html

https://www.t-online.de/nachrichten/ausland/usa/id_100668006/signal-affaere-wie-jeffrey-goldberg-vom-atlantic-in-die-chatgruppe-kam.html

https://www.theguardian.com/us-news/2025/apr/06/signal-group-chat-leak-how-it-happened

https://www.heise.de/news/US-Verteidigungsminister-Pentagon-Aufsicht-prueft-Verhalten-in-Signal-Affaere-10340035.html

https://www.heise.de/news/US-Regierung-Austausch-ueber-die-Krisen-der-Welt-in-viel-mehr-Gruppenchats-10339137.html

https://threema.ch/de/faq/levels_expl

ttps://support.signal.org/hc/de/articles/360007060632

 

HiSolutions IT-Sicherheit Digest Neuigkeiten

Kritische Schwachstelle in Ivanti ICS

In den letzten Wochen hat eine schwerwiegende Sicherheitslücke in der VPN-Software Ivanti Connect Secure (ICS) für Aufsehen gesorgt. Ursprünglich als einfacher Bug eingestuft, hat sich diese Schwachstelle als kritische Bedrohung herausgestellt und wird bereits aktiv ausgenutzt.

Die Schwachstelle, die unter der Kennung CVE-2025-22457 geführt wird, ist ein stack-basierter Pufferüberlauf. Durch diese Art von Schwachstelle können Angreifende ohne vorherige Authentifizierung Schadcode aus der Ferne einschleusen und ausführen. Der Fehler wurde in der Version 22.7R2.6 von Ivanti Connect Secure vollständig gepatcht, nachdem er zunächst als weniger kritisch eingestuft wurde.

Seit Mitte März 2025 wurden Angriffe einer chinesischen Cyber-Bande auf diese Schwachstelle beobachtet. Die Gruppe, die den Namen UNC5221 trägt, hat auf den betroffenen Systemen Malware wie den Dropper „Trailblaze“ und die Backdoor „Brushfire“ installiert. Diese Tools ermöglichen es den Angreifenden, unbemerkt Zugang zu den Systemen zu erhalten und weitere schädliche Aktivitäten durchzuführen.

Ivanti hat die ursprüngliche Fehleinschätzung der Schwachstelle eingeräumt und betont, dass die Sicherheitslücke in der neuesten Version der Software behoben wurde.

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-213156-1032.pdf

https://www.heise.de/news/Nur-als-Bug-klassifiziert-Kritische-Sicherheitsluecke-in-Ivanti-ICS-attackiert-10339954.html

https://www.tec4net.com/web/2025/04/03/31182/

 

Gmails neue E2EE-Funktion

Die Verschlüsselung von E-Mails stellt nach wie vor eine Herausforderung dar (siehe hierzu auch unseren Blog-Beitrag aus dem Jahr 2021). Dabei ist nicht nur die Wahl des geeigneten Standards von Bedeutung (PGP/inline, PGP/MIME oder S/MIME), sondern insbesondere auch die zuverlässige und sichere (authentische) Verteilung der Schlüssel. Google versucht nun, diese Herausforderung mit einem neuen Feature, der Key Access Control List (KACL), zu lösen. Die KACL ist ein zentraler Bestandteil der neuen Ende-zu-Ende-Verschlüsselungsfunktion (E2EE) von Gmail. Der KACL-Server fungiert als leichtgewichtiger Schlüsselserver und kann entweder lokal oder in den meisten Cloud-Diensten gehostet werden. Er generiert und speichert die Verschlüsselungsschlüssel, die für E2EE-Nachrichten verwendet werden. Beim Versand einer verschlüsselten Nachricht verbindet sich der Browser des Absenders mit dem KACL-Server und erhält einen temporären symmetrischen Verschlüsselungsschlüssel. Um die verschlüsselte E-Mail lesen zu können, benötigt man entweder einen Google-Account oder eine Guest-Google-Workspace-Account. Jeder mit Zugriff auf diese Konten kann dann auch die E-Mail im Klartext lesen. Die Erläuterung wie eine zuverlässige Verknüpfung erfolgt, wenn das Empfängerpostfach nicht bei Google liegt, bleibt Google in seiner aktuellen Dokumentation noch schuldig. Somit ist es weniger eine echte E2EE, wo auch wirklich nur der Empfänger (als Person) die Nachricht unverschlüsselt lesen kann. Ob sich dieser Ansatz durchsetzt und die gewünschte Sicherheit bietet, muss noch abgewartet und ggf. im Einzelfall genau geprüft werden. Hierbei wird die Authentizitätsprüfung des Empfängers ein kritischer Aspekt sein.

https://arstechnica.com/security/2025/04/are-new-google-e2ee-emails-really-end-to-end-encrypted-kinda-but-not-really/

https://lifehacker.com/how-to-enable-end-to-end-encryption-in-google-messages-1845845418

https://workspace.google.com/blog/identity-and-security/gmail-easy-end-to-end-encryption-all-businesses

https://research.hisolutions.com/2021/04/kein-ende-zu-ende-gut-alles-gut-bei-e-mail/

 

Kommandozeilenargumente und EDR-Erkennung

Eine der großen Aufgaben in der Abwehr von Cyber-Angriffen ist die Erkennung von Anomalien. Seit einigen Jahren jedoch sehen wir in der Praxis eine immer höhere Nutzung sogenannter Living off the Land Binaries (LOLBINs). Dies sind auf dem Zielsystem bereits vorhandene reguläre Programme, die durch die Angreifenden missbräuchlich genutzt werden können. Dadurch fällt es schwerer, den Angriff von normalem Nutzerverhalten zu unterscheiden. Ein klassisches Beispiel hierfür sind Remote-Steuerungsanwendungen wie TeamViewer.

Die Hersteller von Lösungen für die Endpoint Detection and Response (EDR) und den Virenschutz fingen daraufhin an, beim Aufruf solcher Programme die Kommandozeilenargumente mit in die Bewertung aufzunehmen, um Anomalien besser zu entdecken. Ein Sicherheitsforscher hat nun gezeigt, wie man bei einigen bekannten Programmen deren Argument-Parsing ausnutzen kann, um EDR-Regeln auszutricksen.

Auch wenn dies nur ein kleiner Baustein im gesamten Konstrukt der Vorfallbehandlung und -erkennung ist, so zeigt es deutlich, wie kreativ Angreifende werden können, und welche Fallstricke beim komplizierten Themenfeld Threat Hunting auftreten können.

https://www.wietzebeukema.nl/blog/bypassing-detections-with-command-line-obfuscation

 

Der nächste HiSolutions Cybersecurity Digest erscheint Mitte Mai 2025.

Jetzt abonnieren!

Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: