剣 KENSAI
← All posts · security

Microsoft Notfall-RRAS-Hotpatch, AppsFlyer SDK Supply-Chain-Angriff, Chrome Zwei Zero-Days gepatcht, Chinesische APT greift südostasiatische Militärs an

← Zurück zum Blog

🔧 Microsoft veröffentlicht Notfall-OOB-Hotpatch für Windows 11 RRAS-RCE-Schwachstelle

⚠️ KRITISCH — REMOTE CODE EXECUTION

Microsoft hat ein Out-of-Band (OOB) Sicherheitsupdate speziell für Windows 11 Enterprise-Geräte veröffentlicht, die den Hotpatch-Update-Mechanismus verwenden. Die Schwachstelle betrifft den Routing and Remote Access Service (RRAS) und ermöglicht Remote Code Execution.

Regulatorische Auswirkung: NIS2 — Patch-Management — DORA IKT-Risiko — CRA Schwachstellenbehandlung

Microsoft hat am 14. März den ungewöhnlichen Schritt unternommen, ein Out-of-Band-Sicherheitsupdate zu veröffentlichen, um eine kritische Remote-Code-Execution-Schwachstelle im Routing and Remote Access Service (RRAS) von Windows 11 zu beheben. Der Patch zielt speziell auf Windows 11 Enterprise-Systeme ab, die für Hotpatch-Updates registriert sind.

Die Ironie ist offensichtlich: Das Hotpatch-System, das Unternehmen kontinuierlich schützen soll, hatte selbst eine Lücke eingeführt. RRAS ist eine kritische Netzwerkkomponente für VPN-Konnektivität, NAT-Routing und Fernzugriffsdienste.

⚡ DACH Fazit

Deutsche, österreichische und Schweizer Unternehmen, die Windows 11 Enterprise mit aktiviertem Hotpatch betreiben, sollten dieses OOB-Update sofort anwenden. Organisationen, die RRAS für VPN oder Fernzugriff nutzen, sind direkt exponiert. Das BSI sollte eine technische Empfehlung zur Hotpatch-spezifischen Risikobewertung herausgeben.


🔗 AppsFlyer Web SDK bei Krypto-stehlendem Supply-Chain-Angriff gekapert

⚠️ SUPPLY-CHAIN-ANGRIFF — AKTIVE AUSNUTZUNG

Das AppsFlyer Web SDK, das von Tausenden von Websites für Mobile Attribution und Analytics verwendet wird, wurde vorübergehend mit bösartigem JavaScript-Code kompromittiert, der darauf ausgelegt war, Kryptowährung zu stehlen.

Regulatorische Auswirkung: CRA Software Supply Chain — NIS2 Drittanbieter-Risiko — eIDAS Vertrauensdienste

AppsFlyer, eine große Mobile-Attribution- und Analytics-Plattform, bestätigte diese Woche, dass ihr Web SDK vorübergehend gekapert wurde. Das kryptosthlende JavaScript fing Kryptowährungs-Wallet-Interaktionen auf kompromittierten Websites ab und leitete Transaktionen an von Angreifern kontrollierte Wallets um.

Dieser Angriff folgt dem gleichen Muster wie der Polyfill.io-Kompromiss 2024 — weit verbreitete JavaScript-Bibliotheken werden angegriffen, die direkt in Millionen von Webseiten geladen werden.

⚡ DACH Fazit

DACH E-Commerce- und Fintech-Unternehmen, die AppsFlyer verwenden, sollten ihre SDK-Versionen sofort überprüfen. Implementieren Sie Subresource Integrity für alle Drittanbieter-JavaScript — es ist eine einzeilige Verteidigung gegen Supply-Chain-SDK-Hijacks.


🌐 Chrome 146 patcht zwei aktiv ausgenutzte Zero-Days

⚠️ ZERO-DAY — AKTIVE AUSNUTZUNG

Google hat Chrome 146 mit Patches für zwei Zero-Day-Schwachstellen veröffentlicht, die aktiv in freier Wildbahn ausgenutzt wurden. Die Schwachstellen ermöglichen Datenmanipulation und das Umgehen von Sicherheitsbeschränkungen.

Regulatorische Auswirkung: NIS2 Patch-Management — ENISA Schwachstellenmeldung — Browser-Sicherheit

Google lieferte ein dringendes Chrome 146-Update aus, das zwei Zero-Day-Schwachstellen patcht, die bei gezielten Angriffen aktiv ausgenutzt wurden. Chrome-Zero-Days sind hochwertige Ziele für staatliche Akteure und kommerzielle Spyware-Anbieter.

Mit über 65% weltweitem Browser-Marktanteil stellen diese Schwachstellen eine enorme Angriffsfläche dar. Jede ungepatchte Chrome-Installation ist ein potenzieller Einstiegspunkt.

⚡ DACH Fazit

Alle DACH-Organisationen — insbesondere NIS2-wesentliche Einrichtungen — müssen die Chrome 146-Bereitstellung in ihren Umgebungen sofort verifizieren. Enterprise Chrome-Management-Richtlinien sollten eine Bereitstellung innerhalb von 24 Stunden für aktiv ausgenutzte Zero-Days anstreben.


🐉 Chinesische staatlich unterstützte APT greift südostasiatische Militärs mit Custom Malware an

Regulatorische Auswirkung: NIS2 Verteidigungssektor — EU Cyber-Diplomatie — NATO Cyber-Verteidigung

Palo Alto Networks Unit 42 hat eine langanhaltende chinesische staatlich unterstützte Cyber-Spionage-Kampagne gegen südostasiatische Militärorganisationen aufgedeckt, verfolgt als CL-STA-1087. Die Operation, seit mindestens 2020 aktiv, setzte zwei bisher unbekannte Malware-Familien ein — AppleChris und MemFun.

Die Angreifer suchten gezielt nach Dateien über militärische Fähigkeiten, Organisationsstrukturen und Zusammenarbeit mit westlichen Streitkräften.

⚡ DACH Fazit

Der Cyber- und Informationsraum (CIR) der Bundeswehr sollte bewerten, ob ähnliche APT-Aktivitäten deutsche militärische Kooperationsprogramme in Südostasien betreffen. DACH-Rüstungsunternehmen sollten nach AppleChris- und MemFun-Kompromittierungsindikatoren suchen.


🏢 Kritische HPE AOS-CX Schwachstelle ermöglicht Remote Admin-Passwort-Reset

Regulatorische Auswirkung: NIS2 Netzwerksicherheit — CRA Gerätesicherheit — KRITIS

Eine kritische Schwachstelle in HPE Aruba AOS-CX Netzwerk-Switches ermöglicht es entfernten, nicht authentifizierten Angreifern, Administratorpasswörter zurückzusetzen und damit die vollständige Kontrolle über die Enterprise-Netzwerkinfrastruktur zu übernehmen.

⚡ DACH Fazit

DACH-Unternehmen, die HPE Aruba AOS-CX betreiben, sollten sofort patchen und die Exposition der Management-Interfaces überprüfen. Deutsche KRITIS-Betreiber müssen Behebungszeitpläne dokumentieren.


☕ Starbucks Mitarbeiterdaten-Breach durch Phishing-Angriff

Regulatorische Auswirkung: DSGVO Mitarbeiterdaten — NIS2 Vorfallsmeldung — Social Engineering

Starbucks hat einen Datenschutzverstoß offengelegt, der persönliche Mitarbeiterinformationen betrifft, nachdem Phishing-Angriffe ein internes Mitarbeiterportal ins Visier genommen hatten. Der Vorfall betraf Hunderte von Mitarbeitern.

⚡ DACH Fazit

DACH-Organisationen sollten diese Breach als Anlass nehmen, ihre eigene Mitarbeiterportal-Sicherheit zu überprüfen. MFA auf allen HR- und Employee-Self-Service-Systemen durchsetzen. Deutsche Betriebsräte haben Mitbestimmungsrechte bei der Mitarbeiterdatenverarbeitung.


Supply-Chain-Angriffe kündigen sich nicht an

Von SDK-Hijacking bis zur Übernahme von Netzwerk-Switches — die heutigen Bedrohungen zielen auf Ihre Abhängigkeiten. KENSAI scannt Ihre gesamte Angriffsfläche — einschließlich Drittanbieter-Komponenten — bevor Angreifer die Lücken finden.

Kostenlosen Sicherheitsscan starten →

Der KENSAI Intelligence Desk veröffentlicht tägliche Sicherheitsbriefings zu NIS2, DORA, DSGVO, EU AI Act und CRA-Entwicklungen in der Bedrohungslandschaft. Compliance ist nicht optional — sie ist Infrastruktur.

🛡️ Ist Ihre Website sicher?

Entdecken Sie Schwachstellen, bevor es Angreifer tun.

Website kostenlos scannen →

All posts · Permalink