Liebe Leserinnen und Leser,

auch diesen Monat gab es wieder einiges Berichtenswerte aus der Welt der IT-Sicherheit. Die kürzlich erfolgten Angriffe auf Einzelhandelsunternehmen bieten sich als eine reale Fallstudie zum Thema Incident Response und Krisenkommunikation an, welche wir als Top-Thema behandeln.

• High-Street Retailer im Ziel von Ransomware-Gruppen

Daneben gab es einige technische Nachrichten, aus denen wir die für uns spannendsten für Sie ausgewählt haben:

• Kleiner Ordner, großes Problem: inetpub
• TM SGNL – (k)eine Signal-Alternative
• Windows RDP-Cache – Wenn der Cache länger hält, als er soll
• Kritische Schwachstelle in WooCommerce Wishlist lange Zeit ohne Patch

Wie immer freuen wir uns, mit Ihnen über die Themen auf Mastodon (@hisolutions@infosec.exchange) zu diskutieren!
Mit besten Grüßen
Abraham Söyler & Holger von Rhein

High-Street Retailer im Ziel von Ransomware-Gruppen

Anfang des Monats kam es zu einer Reihe von Vorfällen bei bekannten Einzelhandelsunternehmen aus UK. Co-op Group, Marks and Spencer und Harrods berichteten von Angriffen, die – außer bei Harrods – für lange Ausfälle und vermutliche Datenexfiltration sorgten. Die als Dragonforce bekannte Gruppe bekannte sich zu den Angriffen und kündigte weitere an.

Besonders spannend an den Vorfällen sind die verschiedenen Vorgehensweisen, wie die Unternehmen einerseits technisch reagieren, aber insbesondere auch die Krisenkommunikation vornehmen. Aufgrund der mittlerweile weit verbreiteten Erkenntnis, dass Angriffe auf die IT-Infrastruktur durchaus mal vorkommen, haben wir in Vorfällen die Erfahrung gemacht, dass Transparenz grundsätzlich eine solide Basis der Kommunikation darstellt. Kunden und Dienstleister fühlen sich so direkt involviert und müssen keine Vermutungen anstellen. Darüber hinaus behält man auch nach außen hin die Kontrolle über die Diskussion und kann Neuigkeiten direkt steuern.

Eine weitere Überlegung in diesem Vorfall ist die oft gestellte Frage, ob man in diesen Situationen zahlen sollte oder nicht. Es verbleibt zwar stets eine Einzelfallentscheidung, die je nach Umgebung einzuordnen ist, aber grundsätzlich gibt es viele Nachteile nach einem Bezahlen. Dazu können wir den Artikel von @GossiTheDog@cyberplace.social empfehlen. Die wichtige Erkenntnis: Die Behandlung eines Vorfalles wird durch eine Bezahlung nicht unbedingt schneller. Vorfälle dieses Ausmaßes werden noch Wochen oder Monate später behandelt, und mit dem Bezahlen steht auch die Umgebung nicht plötzlich wieder.

Ebenfalls ist es nicht zu empfehlen, wiederhergestellte Systeme einfach wieder in Betrieb zu nehmen. Oft wird die Umgebung komplett neu aufgebaut, und es findet lediglich eine Datenmigration statt, die aber auch wieder Arbeit und Organisation erfordert. Für diese Fälle zeigt die Praxis, dass sich eine Vorbereitung in Form eines Wiederanlaufplanes sehr nützlich macht. Dabei können bereits einfache Überlegungen zu kritischen Prozessen und ihren technischen Abhängigkeiten dazu beitragen, im Krisenfall besser reagieren zu können.

https://cyberplace.social/@GossiTheDog/114439291946907746

https://doublepulsar.com/big-game-ransomware-the-myths-experts-tell-board-members-03d5e1d1c4b

Sicherheitslücke durch inetpub: Wie ein gelöschter Ordner Windows verwundbar macht

Im April 2025 sorgte ein unscheinbarer Ordner namens inetpub auf Windows-Systemen für Aufsehen – und für ein ernstzunehmendes Sicherheitsproblem. Was zunächst wie ein harmloses Überbleibsel aus alten IIS-Zeiten wirkte, entpuppte sich als kritischer Bestandteil eines Sicherheitsupdates und als potenzielles Einfallstor für Angreifende.

Was ist passiert?

Mit dem April-Patchday legte Microsoft auf Windows 10- und 11-Systemen automatisch den Ordner C:\inetpub an. Dieser sollte laut Microsoft helfen, die Sicherheitslücke CVE-2025-21204 (Base Score: 7,8 von 10) zu entschärfen, die mit symbolischen Links (Symlinks) zusammenhängt. Dokumentation dazu fehlte zunächst – viele Nutzende hielten den Ordner für überflüssig und löschten ihn kurzerhand.

Das eigentliche Problem

Genau hier beginnt das Sicherheitsdilemma: Wenn der Ordner gelöscht wird, können zukünftige Windows-Updates fehlschlagen. Für die Ausnutzung dieser Sicherheitslücke ist kein ausgefeilter Angriff nötig. Es muss lediglich ein symbolischer Link von „inetpub” zu einer anderen Datei erstellt werden. Das System bleibt dann auf einem unsicheren Stand.

Microsofts Reaktion

Nachdem Sicherheitsforscher Kevin Beaumont auf das Problem aufmerksam gemacht hatte, veröffentlichte Microsoft ein PowerShell-Skript namens Set-InetpubFolderAcl.ps1. Dieses stellt den Ordner wieder her und setzt die korrekten Zugriffsrechte. Das Skript prüft auch, ob der Ordner manipuliert wurde und verhindert so weitere Missbrauchsmöglichkeiten.

Fazit: Ein Lehrstück in Kommunikation und Sicherheit

Der Fall zeigt, wie wichtig klare Kommunikation bei sicherheitsrelevanten Änderungen ist. Ein leerer Ordner mag harmlos wirken, doch in diesem Fall war er ein zentraler Bestandteil eines Sicherheitsmechanismus. Wer ihn entfernte oder manipulierte, öffnete sein System ungewollt für Angriffe.

Nutzende sollten prüfen, ob der Ordner inetpub vorhanden ist und ggf. das Microsoft-Skript ausführen, um die Sicherheit des Systems wiederherzustellen.

https://doublepulsar.com/microsofts-patch-for-cve-2025-21204-symlink-vulnerability-introduces-another-symlink-vulnerability-9ea085537741

https://www.heise.de/news/Microsoft-Abhilfe-fuer-Sicherheitsluecke-durch-geloeschte-inetpub-Ordner-10437103.html

https://www.golem.de/news/windows-10-und-11-mysterium-um-inetpub-ordner-teilweise-aufgeloest-2504-195313.html

https://www.golem.de/news/windows-leerer-inetpub-ordner-schafft-ein-neues-sicherheitsproblem-2504-195563.html

https://www.chip.de/news/Wie-ein-leerer-Ordner-fuer-Windows-zum-Sicherheitsproblem-wird_185936620.html

https://www.borncity.com/blog/2025/06/07/microsoft-veroeffentlicht-script-um-inetpub-neu-anzulegen/

https://nvd.nist.gov/vuln/detail/cve-2025-21204

TM SGNL – (k)eine Signal-Alternative

Wir erinnern uns an die als Signalgate bekannt gewordene Affäre zu geleakten klassifizierten Informationen über einen Signal-Chat. Wie sich nun herausstellt, nutzten die Angehörigen der US-Regierung nicht den offiziellen Signal-Client, sondern eine abgeänderte Version von TeleMessage, einem israelischen Unternehmen. Diese Version von Signal ermöglichte aufgrund eines trivialen Fehlers den Zugriff auf Chats. @micahflee@infosec.exchange und @ljrk@todon.eu haben interessante Details gefunden.

Für alle Kryptografie-Interessierten empfehlen wir den Blog von @soatok@furry.engineer zu dem Thema, in dem zu lesen ist, was eine Signal-Alternative zu erfüllen hat (und warum die meisten Messenger bereits dort scheitern).

https://micahflee.com/heres-the-source-code-for-the-unofficial-signal-app-used-by-trump-officials/

https://todon.eu/@ljrk/114444796069542288

https://soatok.blog/2024/07/31/what-does-it-mean-to-be-a-signal-competitor/

Windows RDP-Cache – Wenn der Cache länger hält, als er soll

Windows RDP-Caches erlauben Log-ins mit alten Credentials, die bereits rotiert wurden. Microsoft behauptet allerdings, dass dies ein Feature sei, damit man sich nicht aussperrt. Die IT-Sicherheits-Szene reagierte irritiert. Es empfiehlt sich, einen Blick auf die eigenen Konfigurationen dazu zu werfen.

https://arstechnica.com/security/2025/04/windows-rdp-lets-you-log-in-using-revoked-passwords-microsoft-is-ok-with-that/

Kritische Schwachstelle in WooCommerce Wishlist lange Zeit ohne Patch

In den WordPress-Fällen der letzten Monate ist uns das Modul WooCommerce öfter aufgefallen. Nun stellte sich heraus: Bereits im März wurde eine kritische Lücke (CVE-2025-47577) dem Hersteller gemeldet, worauf dieser aber nicht reagierte. Bei der Lücke handelt es sich um ein „pre-Auth RCE“, also die Möglichkeit zur Ausführung von Schadcode ohne vorhergehende gültige Benutzeranmeldung. Die technischen Details sind im verlinkten Artikel einsehbar.

Dieser Vorfall sollte die Wichtigkeit von Supply-Chains und weiterführenden Mitigationsmaßnahmen neben dem Patchen klar machen, denn manchmal steht kein Patch zur Verfügung.

https://patchstack.com/articles/unpatched-critical-vulnerability-in-ti-woocommerce-wishlist-plugin/

Cybersicherheits-Webtalk der Allianz für Cybersicherheit – 16. Juni von 14:00 bis 15:00

Die NIS-2-Richtinie bringt neue Herausforderungen für Unternehmen und Behörden: Für rund 30.000 Organisationen bedeutet NIS-2 erstmals Regulierung in der Netzwerk- und Informationssicherheit. Noch herrscht weitgehend Unsicherheit, denn die NIS-2 Umsetzung in nationales Gesetz steht noch aus. Damit bleiben viele Details und Fragen noch offen.

Was aber jetzt schon beantwortet werden kann, soll das neue Format „#nis2know“ der Allianz für Cybersicherheit beleuchten.

Gemeinsam mit Experten aus Recht, Beratung und Behörde werden Ihre Fragen zu NIS-2 – aktuell und aus unterschiedlichen Perspektiven (rechtliche Sicht, Sicht der Cybersicherheitsberatung und Sicht der Aufsichtsbehörde) beantwortet.

Mit dabei sind: 

• Stefan Hessel, reuschlaw – Reusch Rechtsanwaltsgesellschaft mbH und Partner der Allianz für Cyber-Sicherheit
• Manuel Atug, HiSolutions AG und Partner der Allianz für Cyber-Sicherheit
• Marian Blok, Bundesamt für Sicherheit in der Informationstechnik

Jetzt kostenlos anmelden: https://register.gotowebinar.com/register/6014395022030214489​​​​​​​

Kostenfreies Webinar zum IT-Asset-Management

Ein wirksames IT-Sicherheitskonzept erfordert Transparenz über die tatsächlich vorhandene IT-Umgebung. In einem Live-Webinar am 26.6.2025 um 10:30 Uhr geben Raynet und HiSolutions Einblicke in moderne Methoden und Tools im IT-Asset-Management.

Die Teilnahme ist kostenfrei.

https://www.hisolutions.com/webinar-it-asset-management