Microsoft behebt Fehler, der zu LSA-Warnungen führt

Microsoft hat ein neues Update für sein Antivirenprogramm Defender veröffentlicht, um ein anhaltendes Problem zu beheben, bei dem Benutzer unnötigerweise gewarnt werden, dass der lokale Sicherheitsdienst (Local Security Service, LSA) deaktiviert ist. Das Software-Update wurde ursprünglich im April veröffentlicht und im Mai zurückgezogen, steht nun aber wieder zum Download bereit.

Microsoft Logo

Microsoft hat mitgeteilt, dass der Fehler vor allem Nutzerinnen und Nutzer der Windows 11-Versionen 21H2 und 22H2 betrifft. In zahlreichen Nutzerberichten wurde darauf hingewiesen, dass der LSA-Schutz deaktiviert und das Gerät dadurch angreifbar sein könnte, obwohl der Schutz aktiviert war.

Der LSA-Schutz ist eine wichtige Sicherheitsmaßnahme für Windows-Benutzer. Er blockiert das Einschleusen von nicht vertrauenswürdigem Code in den LSASS.exe-Prozess und verhindert so, dass Angreifer sensible Informationen extrahieren können.

Das Update trägt die Bezeichnung KB5007651 (Version 1.0.2306.10002).

Microsoft hat das Update KB5007651 für den Defender erstmals im April veröffentlicht, um das lästige Problem zu beheben. Doch bereits einen Monat später, im Mai, wurde die Auslieferung dieses Updates aufgrund von Komplikationen gestoppt. Betroffene Nutzer berichteten von Bluescreens oder unerwarteten Systemneustarts nach der Installation des Updates, insbesondere beim Spielen unter Windows 11.

Für Benutzerinnen und Benutzer, die das Update KB5007651 nicht sofort installieren können, bietet Microsoft eine vorübergehende Lösung an: Sie sollen die ständigen Neustartaufforderungen einfach ignorieren. Microsoft warnt jedoch ausdrücklich davor, andere Lösungsansätze für dieses Problem zu verfolgen.

Microsoft dementiert Diebstahl von 30 Millionen Kundenkonten

Microsoft hat kürzlich Behauptungen der Hacktivistengruppe „Anonymous Sudan“ entschieden zurückgewiesen, sie sei erfolgreich in die Server des Technologieunternehmens eingedrungen und habe Anmeldeinformationen von rund 30 Millionen Kundenkonten erbeutet.

Microsoft Logo

Die Gruppe Anonymous Sudan, eine selbsternannte Verbündete von pro-russischen Hacktivisten wie Killnet, ist für ihre verheerenden DDoS-Angriffe auf westliche Einrichtungen bekannt. Im vergangenen Monat verursachte die Gruppe mehrere Ausfälle und Störungen bei Microsoft. Betroffen waren unter anderem Azure, Outlook und OneDrive.

In ihrer neuesten Behauptung gab Anonymous Sudan an, Microsoft erfolgreich gehackt und Zugang zu einer umfangreichen Datenbank mit über 30 Millionen Microsoft-Konten inklusive E-Mails und Passwörtern erhalten zu haben. Die Hacktivisten bieten diese Datenbank angeblich für 50.000 Dollar zum Verkauf an und fordern potenzielle Käufer auf, sich über ihren Telegram-Bot mit ihnen in Verbindung zu setzen.

Als angeblichen Beweis für den erfolgreichen Hack stellte die Gruppe 100 Login-Daten zur Verfügung. Die Herkunft dieser Daten konnte bisher jedoch nicht verifiziert werden. Es ist unklar, ob es sich um alte Daten, das Ergebnis eines Hacks durch Dritte oder tatsächlich um aktuell gestohlene Daten aus Microsoft-Systemen handelt.

Auf Nachfrage von BleepingComputer wies ein Microsoft-Sprecher die Behauptungen von Anonymous Sudan zurück: „Wir haben keine Anzeichen dafür gefunden, dass unsere Kundendaten abgegriffen oder kompromittiert wurden.“

Ob die Untersuchungen von Microsoft bereits abgeschlossen sind oder noch andauern, ist unklar.

Edge Secure Network jetzt mit 5 GB Datenvolumen

Edge Logo

Microsoft hat die VPN-Funktion „Secure Network“ im Edge-Browser erheblich verbessert und bietet nun ein monatliches Datenlimit von 5 GB an, eine deutliche Steigerung gegenüber dem bisherigen Limit von 1 GB.

Das Edge Secure Network, das die Routing-Dienste von Cloudflare nutzt, verschlüsselt die Internetverbindung der Nutzerinnen und Nutzer und bietet so einen Schutzschild gegen Online-Bedrohungen wie Hackerangriffe. Um diesen erweiterten Service nutzen zu können, müssen die Nutzerinnen und Nutzer mit ihrem Microsoft-Konto eingeloggt sein – damit Microsoft erkennt, wann das Datenlimit erreicht ist.

Microsoft garantiert, dass die Identität der Nutzerinnen und Nutzer während der sicheren Verbindung nicht mit dem Dienstanbieter Cloudflare geteilt wird.

Das Edge Secure Network, das sich seit fast einem Jahr in der Entwicklung befindet, wird in der stabilen Version von Edge immer mehr Nutzern zur Verfügung gestellt.

Zwar kann das Secure Network von Edge nicht alle Funktionen eines VPN-Dienstes ersetzen – wie etwa die Standortwahl oder die Umgehung regionaler Beschränkungen von Streaming-Plattformen wie Netflix – es ermöglicht aber beispielsweise den Zugriff auf Websites, die von Internet Service Providern blockiert werden.

→ weiterlesen

BlackCat Ransomware hinter Fake WinSCP

Kriminelle Aktivitäten im Internet nehmen weiter zu. Cyberkriminelle nutzen zunehmend Anzeigen in Suchergebnissen, um schädliche Tools zu verbreiten, darunter die Ransomware BlackCat (auch bekannt als ALPHV), die Windows-Systeme angreift.

Trend Micro Logo

Die IT-Sicherheitsexperten von Trend Micro haben in den Suchmaschinen Bing und Google so genannte Malvertising-Anzeigen für den Open-Source-FTP-Client WinSCP entdeckt. Statt auf die legitime Seite winscp.net führen die betrügerischen Anzeigen auf die gefälschte Seite winsccp.com. Ein Klick auf den dortigen Download-Link führt zum Herunterladen einer ISO-Datei mit einer Setup- und einer DLL-Datei auf den Rechner des Nutzers. Während durch Ausführen der Setup-Datei das gewünschte WinSCP installiert wird, wird gleichzeitig Schadcode auf dem Rechner abgelegt.

Dadurch erhalten die Täter Zugriff auf den Computer und können mit ihren Command-and-Control-Servern kommunizieren und weitere Schadsoftware installieren. Mit Hilfe des Tools AdFind werden Informationen aus Active Directory Umgebungen extrahiert. Mit diesen erbeuteten Informationen können die Angreifer weitreichenden Zugriff auf das Active Directory erlangen. Mit Hilfe von AnyDesk richten die Kriminellen dann einen Fernzugriff ein. Im weiteren Verlauf laden die Angreifer ihre Ransomware BlackCat auf den kompromittierten PC.

→ weiterlesen

Entschlüsselungstool für die Akira Ransomware

Die Sicherheitsexperten von Avast haben ein kostenloses Tool zur Entschlüsselung der Akira-Ransomware für Windows-Systeme zur Verfügung gestellt.

Zu beachten ist jedoch, dass dieses Tool nur mit der im März 2023 aufgetauchten Variante der Akira-Ransomware kompatibel ist. Ältere Versionen wie die aus dem Jahr 2017 lassen sich damit nicht entschlüsseln.

Screenshot der Akira-Ransomware.

Die Akira-Ransomware, die sowohl Windows- als auch Linux-PCs befällt, kennzeichnet ihre infizierten Dateien mit der Endung .akira und fordert für deren Freigabe in der Regel ein Lösegeld. Die Ransomware scheint es vor allem auf Unternehmensnetzwerke abgesehen zu haben.

Zur Verschlüsselung der Dateien greift Akira auf unterschiedliche Ressourcen zurück: Unter Windows verwendet Akira die Windows CryptoAPI, unter Linux die Bibliothek Crypto++.

Das jetzt veröffentlichte Entschlüsselungstool ist sehr speicherintensiv, weshalb Experten empfehlen, die 64-Bit-Version für Windows zu verwenden. Für eine erfolgreiche Entschlüsselung muss mindestens eine verschlüsselte Datei sowie die unverschlüsselte Originalversion zur Verfügung stehen.

→ weiterlesen

Router-Malware: Mirai-Botnet nutzt Sicherheitslücken aus

Router

Die IT-Experten von Unit42, einer Abteilung von Palo Alto, verfolgen aufmerksam eine Cybercrime-Kampagne, die auf das Internet der Dinge (IoT) abzielt. Dabei nutzen die Angreifer Sicherheitslücken aus, um Varianten des gefürchteten Mirai-Botnets zu verbreiten.

Die Angreifer nutzen insgesamt 22 Sicherheitslücken, um vollen Zugriff auf die anfälligen Geräte zu erlangen und sie ihrem Botnet hinzuzufügen. Mit dieser Kontrolle führen sie dann weitere Angriffe wie Distributed Denial of Service (DDoS) durch.

Eine erste Welle dieser Kampagne wurde im März erkannt, als ein Shell-Downloader entdeckt wurde, der verschiedene Bot-Clients für unterschiedliche Prozessorarchitekturen herunterlädt und ausführt. Eine nachfolgende Kampagne im April nutzte denselben Shellcode-Downloader.

Die IT-Forensiker stellten fest, dass die Angreifer ständig neue Exploits hinzufügten und so immer mehr Router angriffen und in Drohnen für ihr Botnetz verwandelten. Aufgrund der Verhaltensmuster der heruntergeladenen Botnet-Clients gehen die Forscher davon aus, dass es sich um Varianten des Mirai-Botnets handelt.

→ weiterlesen

Enorme Zunahme von Handy-Malware

In jüngster Zeit sind mobile Endgeräte zu einem immer beliebteren Ziel von Cyberkriminellen geworden, da sie nicht nur Zugang zu mobilen Banking-Apps bieten, sondern zunehmend auch als Brücke zu Unternehmensanwendungen und IT-Netzwerken dienen.

Laut dem „Global Mobile Threat Report 2023“ von Zimperium nimmt die Zahl der Phishing-Angriffe zu. Erstaunlicherweise sind 80 % der gefälschten Websites, die für Phishing verwendet werden, speziell für mobile Geräte konzipiert oder zumindest für beide Plattformen – mobil und Desktop – optimiert.

Statistiken zeigen, dass die Wahrscheinlichkeit, auf einen Phishing-Angriff per SMS hereinzufallen, sechs- bis zehnmal höher ist als bei Angriffen per E-Mail.

Shridhar Mittal, CEO von Zimperium, weist darauf hin, dass die rasant steigende Nutzung von mobilen Geräten und Apps die Angriffsfläche vergrößert. Mobile Geräte sind aus unserem Alltag nicht mehr wegzudenken, eröffnen aber auch neue Wege für Malware-Attacken.

→ weiterlesen

Android-Trojaner „Anatsa“ stiehlt Bankdaten

Seit seinem erneuten Auftauchen im März 2023 versetzt der Android-Banking-Trojaner „Anatsa“ Nutzerinnen und Nutzer weltweit in Alarmbereitschaft – auch in Deutschland. Den Cyberkriminellen ist es gelungen, ihren Schadcode in Apps zu verstecken, die über Google Play heruntergeladen werden können.

Das Sicherheitsunternehmen ThreatFabric hat alarmierende Daten veröffentlicht, wonach die Malware bereits über 30.000 Mal von Google Play heruntergeladen wurde. Deutschland belegt den unglücklichen dritten Platz bei der Anzahl der Installationen. Anatsa versteckt sich vor allem in PDF-Viewer-Apps, Editor-Apps und Office-Anwendungen für Android.

Nachdem ThreatFabric Google auf die schädlichen Apps aufmerksam gemacht hatte, wurden diese umgehend entfernt. Trotzdem gelingt es den Angreifern immer wieder, neue Apps mit eingebetteter Malware hochzuladen. Dabei verfolgen sie eine raffinierte Strategie: Zunächst werden die Apps ohne Schadcode hochgeladen und bestehen so die Google-Prüfung. Spätere Updates enthalten dann den Schadcode.

Anatsa ist keine neue Cyberbedrohung. Bereits im November 2021 gelang es Hackern, diesen Trojaner in Google Play einzuschleusen. Damals wurde die infizierte App über 300.000 Mal installiert.

Sobald eine mit Anatsa infizierte App auf einem Android-Gerät installiert ist, löst sie den Download weiterer Schadsoftware aus. Häufig tarnt sie sich als Texterkennungs-Add-on für Adobe Illustrator. Anatsa sammelt Bank- und Kreditkartendaten, indem es Benutzer auf gefälschte Websites lockt und sie dazu verleitet, ihre sensiblen Daten preiszugeben.

Ein weiteres erschreckendes Merkmal von Anatsa ist der Einsatz eines Keyloggers, der Tastatureingaben aufzeichnet. Die erbeuteten Daten werden missbraucht, um betrügerische Transaktionen im Namen des Opfers durchzuführen. Das gestohlene Geld wird in Kryptowährung umgewandelt und über ein komplexes Netzwerk ins Zielland transferiert.

→ weiterlesen