Eine kompakte Sicherheitszusammenfassung für Produkt- und Engineering-Teams: Festnahmen durch die Strafverfolgung, mehrere Pwn2Own-Offenlegungen, eine aktiv ausgenutzte Exchange-Zero-Day-Schwachstelle, eine umstrittene Azure-Schwachstellenoffenlegung und eine Lieferkettenverletzung, die OpenAI betrifft.
Erfolge der Strafverfolgung nach operativem Fehler
Ein Paar mutmaßlicher Cyberkrimineller wurde identifiziert und festgenommen, nachdem sie Berichten zufolge bei einer Operation versäumt hatten, die Aufzeichnung in Microsoft Teams zu deaktivieren. Die Berichterstattung der Woche vermerkt außerdem eine Festnahme im Zusammenhang mit einem mutmaßlichen Anführer eines Darknet-Marktes und dass der Ransomware-Vorfall bei Instructure Canvas zu einem Abschluss gekommen ist.
Pwn2Own Berlin Tag 1: Windows 11 und Edge im Visier
Am ersten Tag von Pwn2Own Berlin 2026 demonstrierten teilnehmende Teams 24 verschiedene Zero-Day-Exploits und erhielten Geldprämien in Höhe von insgesamt $523,000. Zu den als verwundbar gezeigten Produkten gehörten Windows 11 und Microsoft Edge.
Pwn2Own Berlin Tag 2: Exchange, Windows und RHEL zeigen weitere Lücken
Der zweite Tag des Wettbewerbs brachte eine weitere Reihe erfolgreicher Demonstrationen: Forscher nutzten 15 einzigartige Zero-Day-Schwachstellen aus und erhielten Barprämien von $385,750. Zu den Zielen gehörten Windows 11, Microsoft Exchange und Red Hat Enterprise Linux for Workstations.
Microsoft warnt vor einer ausgenutzten Exchange Server Zero-Day-Schwachstelle
Microsoft veröffentlichte Gegenmaßnahmen für eine hochschwere Schwachstelle in Exchange Server, die in Angriffen verwendet wurde. Die Schwachstelle ermöglicht die Ausführung beliebigen Codes über einen Cross-Site-Scripting-Vektor, der gezielt Nutzer von Outlook on the web angreift.
Streit um einen Bericht zu Azure Backup for AKS und eine fehlende CVE
Ein Forscher sagt, Microsoft habe eine kritische Schwachstelle, die Azure Backup for AKS betrifft, heimlich behoben, ohne eine CVE zu vergeben, nachdem der Bericht zunächst abgelehnt worden war. Microsoft bestreitet diese Darstellung und erklärt, dass das beobachtete Verhalten erwartet worden sei und keine Produktänderungen vorgenommen worden seien.
OpenAI bestätigt Sicherheitsverletzung im Zusammenhang mit dem TanStack-Lieferkettenvorfall
OpenAI räumte ein, dass während des jüngsten TanStack-Lieferkettenangriffs, der Hunderte von npm- und PyPI-Paketen betraf, zwei Geräte von Mitarbeitern kompromittiert wurden. Als Vorsichtsmaßnahme hat das Unternehmen die Code-Signing-Zertifikate für seine Anwendungen ausgetauscht.
Kurz zusammengefasst: Diese Woche verband hochsichtbare Exploit-Demonstrationen und aktive Vorfälle mit bemerkenswerten Durchsetzungsmaßnahmen und Streitigkeiten mit Anbietern. Teams, die Software ausliefern, sollten die veröffentlichten Exchange-Gegenmaßnahmen verfolgen, Lieferkettenwarnungen beachten und auf Nachfolgemeldungen der betroffenen Anbieter achten.
Bleiben Sie auf dem Laufenden
Erhalten Sie Releases, Produkt-Updates und Launch-Hinweise per E-Mail. Eine Liste fur News und Produkte.
Community feedback
What do you think?
Leave one reaction and join the discussion below.
Comments
0 comments