Sicherheitsnachrichten – Teil 2: Schwachstellen, Datenschutzverletzungen und andere Hacks (bis 17. Oktober 2025) Borns IT

Am Ende der Woche noch eine Zusammenfassung der Sicherheitsberichte, die ich gefunden habe. Das Unternehmen TAP-Solutions meldet, dass es gehackt wurde, weil es seltsame E-Mails verschickt. Es gibt eine Sicherheitslücke in SAMBA, das SS7-Protokoll wird zur Massenüberwachung und mehr verwendet.

Gehackte TAP-Lösungen?

TAP.de ist ein Beratungsunternehmen und Anbieter von IT-Dienstleistungen in den Bereichen Workplace Management, Endpoint Security, Compliance und Business Service Management mit Kunden in Unternehmen und Behörden.

Blog-Leser Martin hat mich diese Woche kontaktiert und vermutet, dass bei tap.de ein Sicherheitsvorfall vorliegt (ich konnte bei der Suche nichts finden). Der Leser schrieb, dass „das Unternehmen seltsame Rechnungen mit einem Onedrive-Link an alle verschickte, die offenbar Kontakt mit dem Unternehmen hatten.“ Leider geht dort niemand ans Telefon.

Es gibt lediglich die obige Meldung mit einer Warnung des Unternehmens, die besagt, dass E-Mails von „[email protected]“ gesendet wurden, die „fälschlicherweise“ als vom Unternehmen stammend erscheinen. Sie werden gewarnt, diese E-Mails nicht zu öffnen oder auf Links zu klicken. Systeme von Gesponserter Link zur TAP.DE Solutions GmbH sie seien nicht beschädigt, heißt es.

Der Leser schrieb, dass das Unternehmen keine konkrete Warnung verschickt habe und das Ganze als einen Fall der DSGVO betrachte. Ich bin mir nicht so sicher, ob ich dem zustimmen kann. Wäre das Unternehmen nicht gehackt worden – was im obigen Bericht thematisiert wird –, könnte die Domain auch missbraucht worden sein. Einen solchen Fall habe ich bereits im Artikel Kurzinfo: Spam, angeblich von borncity.com – IP 95.211.93.115-Missbrauch erwähnt. Es gibt definitiv keinen Mailserver unter borncity.com und dennoch scheint es von der SPAM-Domäne gesendet worden zu sein.

Andererseits schrieb mir der Leser, dass er die Firmenaussage schwierig fand, weil in den Phishing-Mails die Einträge für DMARC, DKIM und SPF etc. korrekt waren. Der Leser interpretiert dies so, dass ein Exchange Online-Postfach möglicherweise kompromittiert ist und dass Exchange Online nicht Teil „unserer Computersysteme“ ist. Weiß irgendein Leser zu diesem Zeitpunkt mehr? Leider habe ich keine E-Mail gesendet.

CVE-2025-10230 Sicherheitslücke in SAMBA

Es gibt eine Samba-Warnung für die Schwachstelle CVE-2025-10230, die die Remote-Befehlsausführung auf einem Samba-Server ermöglicht, wenn die WINS-Unterstützung aktiviert (standardmäßig deaktiviert) ist
Der Parameter „Win Hook“ ist angegeben.

Der vom Samba Active Directory Domain Controller verwendete WINS-Server
validiert keine Namen, die an das Wins-Hook-Programm umgeleitet werden
mehr, indem Sie es in einen String einfügen, der von einer Shell ausgeführt wird. Das bedeutet, dass alle Samba-Versionen ab 4.0 anfällig für die obige Konstellation sind. Samba Active Directory (AD)-Domänencontroller mit aktivierter WINS-Unterstützung müssen die von den Entwicklern bereitgestellten Patches für Samba 4.23.2, 4.22.5 und 4.21.9 installieren oder die veröffentlichte Problemumgehung anwenden. Weitere Informationen zum Thema liefert heise in diesem Artikel.

PayPal scheiterte am 16. Oktober 2025

Ein Leser kontaktierte mich in einer privaten Nachricht auf Facebook und schrieb, dass er „derzeit Probleme beim Einloggen bei PayPal“ habe. Am 16. Oktober 2025 kam es beim Zahlungsdienstleister PayPal zu einem weltweiten Ausfall. Der Leser verwies mich auf einen reddit.com-Thread, in dem es Berichte über Anmeldeprobleme gab. PayPal- und Venmo-Debakel: Was Entwickler und Entscheidungsträger aus dem Debakel von Never Code Alone am 16. Oktober 2025 lernen müssen. Am 16. Oktober 2025 gegen 11:00 Uhr waren Paypal und Venmo für etwa eine Stunde ausgefallen. Die Zahlung konnte nicht erfolgen.

ASP.NET Core-Fehler behoben

Die Sicherheitsupdates vom 14. Oktober 2025 haben außerdem einen Fehler in ASP.NET Core behoben, der einen CVSS 3.1-Score von 9,9 aufwies – den höchsten Score, den es jemals für einen Fehler in diesem Bereich gab. Die Registry hat hier einige Erläuterungen veröffentlicht.

Jaguar Land Rover: Russischer Angriff?

Im September 2025 habe ich über die Datenausgabe von Stellantis geschrieben; Cyberangriff auf Jaguar Land Rover; Automotive Cyber ​​​​​​​​Security meldete einen Cyberangriff, der die Produktion bei Jaguar Land Rover lahmlegte.

Die Telegraph-Medien (leider kostenpflichtig) berichten Cyberangriff oben Automobilhersteller Jaguar Land Rover es könnte mit der Beteiligung von Drittländern zusammenhängen. Dies lässt sich auch darauf schließen, dass das Unternehmen nach der Kompromittierung nicht erpresst wurde.

Überwachung über das SS7-Protokoll

Im folgenden Beitrag konzentriert sich Hypervisible auf den Artikel „The Surveillance Empire That Tracked World Leaders, a Vatikan Enemy“ und „Vielleicht Sie“. Es geht um Massenüberwachung durch Unternehmen wie NSO mithilfe des SS7-Protokolls im Mobilfunk.

heise hat das Thema diese Woche in diesem Artikel aufgegriffen. Ein zweiter Artikel befasst sich ebenfalls mit dem Thema Überwachungsgeheimnisse.

Hintertür in Framework-Notebooks

Es gibt eine Schwachstelle in der UEFI-Shell in Framework-Notebooks, die es ermöglicht, Secure Boot zu umgehen. Dies wird von BombShell: The Signed Backdoor Hiding in Plain Sight on Framework Devices by Eclypsium im folgenden Tweet angegeben.

Sicherheitsforscher haben geschrieben, dass UEFI-Shells im Wesentlichen selbstsignierte Hintertüren sind und auf 200.000 Framework-Laptops und -Desktops vorhanden sind. Zur Behebung der Schwachstelle stehen BIOS-Updates zur Verfügung.

Der IE-Modus ist in Edge defekt

Anschließend wurde berichtet, dass Angreifer den Internet Explorer-Modus in Microsoft Edge missbrauchten, um sich unbefugten Zugriff auf die Geräte der Benutzer zu verschaffen. Angreifer nutzen Social Engineering, um Opfer dazu zu verleiten, Seiten im IE-Modus neu zu laden. Anschließend nutzten sie eine Zero-Day-Schwachstelle in der Chakra-JavaScript-Engine aus, um Remotecode auszuführen und Berechtigungen zu erhöhen.

Chromium-Sicherheitsfunktionen wurden umgangen. Seitdem hat Microsoft die Einschränkungen für den IE-Modus verschärft und verlangt nun für einige Websites eine manuelle Konfiguration. Einzelheiten finden Sie im Artikel „Microsoft blockiert den IE-Modus, nachdem er zu einer Legacy-Funktion geworden ist“ auf Hacker News.

Volkswagen Group France Opfer eines Cyberangriffs

Und dann stieß ich auf den folgenden Tweet, dass es bei der Volkswagen Group France zu einem Cyberangriff gekommen sei, bei dem 150 GB Daten gestohlen wurden.

Die Ransomware-Gruppe Qilin behauptet, die Systeme der Volkswagen Group France, einer Tochtergesellschaft der Volkswagen AG, infiltriert zu haben. Weitere Informationen gibt es hier und hier.

SIMCARTEL-Betrieb

Und dann gab es laut diesem Tweet die Operation SIMCARTEL, bei der mehrere Cyberkriminelle festgenommen wurden. Europol und lettische Strafverfolgungsbehörden beschlagnahmten fünf Server sowie 1.200 SIM-Box-Geräte und 40.000 aktive SIM-Karten.

Kriminelle wurden mit mehr als 1.700 Cyberbetrugsfällen in Österreich und 1.500 Fällen in Lettland in Verbindung gebracht, die Schäden in Millionenhöhe verursachten, davon 4,5 Millionen Euro in Österreich und 420.000 Euro in Lettland.

Daten vom Modeunternehmen Mango gestohlen

Beim Modeunternehmen Mango kam es zu einem Cybervorfall, bei dem Kundendaten gestohlen wurden. Die Details hat heise in diesem Artikel aufbereitet.

Android Pixnapping-Angriff stiehlt MFA-Token

Sicherheitsforscher haben eine Pixnapping-Angriffsmethode auf Android demonstriert, mit der MFA-Codes Pixel für Pixel gestohlen werden können. Bleeping Computer hat in diesem Artikel alles vorbereitet.