Adobes Oktober-Patch-Release behebt 36 CVEs in verschiedenen Produkten, wobei Updates für Substance 3D Stager, Dimension und Illustrator besonders wichtig sind. Microsofts Oktober-Patch-Tuesday ist massiv und umfasst 177 neue CVEs, was es zum größten monatlichen Release von Microsoft macht. Sechzehn Schwachstellen sind als kritisch und der Rest als wichtig eingestuft, wobei einige aktiv ausgenutzt werden. Drei Fehler werden bestätigt, als aktiv angegriffen, darunter Windows Agere Modem Driver- und Remote Access Connection Manager-Privilegien-Erhöhungsfehler. Eine weitere bemerkenswerte Schwachstelle ist ein Secure Boot-Umgehung in IGEL OS, die Aufmerksamkeit erfordert. Die Remote-Code-Execution-Schwachstelle im Windows Server Update Service (WSUS) birgt ebenfalls ein erhebliches Risiko. Microsofts umfangreiche Veröffentlichung könnte im Zusammenhang mit dem Ende des Supports für Windows 10 stehen. Die enorme Menge unterstreicht die Notwendigkeit einer schnellen Testung und Bereitstellung von Sicherheitsupdates, um Risiken zu mindern. Die bereitgestellte Liste enthält die spezifischen CVEs, ihre Titel, Schweregrade und den aktuellen Status.

Der Autor untersuchte einen Absturz in Autodesk Revit 2025, der zunächst durch Fuzzing von RFA-Dateien gefunden wurde und zu einer Typverwechslungsanfälligkeit führte. Diese Anfälligkeit war das Ergebnis der Deserialisierung eines `std::pair`-Typs. Der Absturz tritt auf, wenn das Programm versucht, einen Destruktor für einen Wert ohne V-Tabelle aufzurufen. Der Autor nutzte die Anfälligkeit aus, um eine Remote-Code-Ausführung zu erreichen. Die Forschung umfasste Reverse Engineering und Debugging. Werkzeuge wie IDA Pro, WinDBG und Time Travel Debugging wurden verwendet. Eine Cloud-basierte Lieferkettenanfälligkeit im Axis Communications Plugin für Autodesk Revit, die korrumpierte RFA-Dateien verteilen konnte, unterstützte den Exploit erheblich. Der Autor erstellte ein Werkzeug, "CompoundFileTool", und ein weiteres Werkzeug, das das gzip-Verhalten von Revit nachahmte, was für die effektive Modifizierung von RFA-Dateien unerlässlich war. Ziel war es, den Offset 0x0 des deserialisierten Objekts so zu manipulieren, dass er auf eine kontrollierte V-Tabelle zeigt. Der Autor erreichte letztendlich erfolgreich eine beliebige Codeausführung durch Ausnutzung der Typverwechslung. Die Forschung umfasste auch das Reverse Engineering und das Verständnis des RFA-Formats von Autodesk, einschließlich des Formats der komprimierten Daten im Global/Latest-Stream.

Die Trend Micro Zero Day Initiative hat eine kritische Schwachstelle in NVIDIAs Transformers4Rec-Bibliothek entdeckt, die die Ausführung von Remote-Code mit Root-Berechtigungen ermöglicht. Diese Schwachstelle, CVE-2025-23298, beruht auf unsicherer Deserialisierung beim Laden von Modell-Checkpoints mit Pythons Pickle-Modul. Transformers4Rec, Teil des Merlin-Ökosystems, wird häufig für Empfehlungsaufgaben verwendet und integriert sich in Hugging Face Transformers. Der Fehler liegt in der Funktion `load_model_trainer_states_from_checkpoint`, die `torch.load()` direkt ohne Sicherheitsparameter verwendet und sie so bösartigen Pickle-Dateien aussetzt. Pickles `__reduce__`-Methode ermöglicht die Ausführung von beliebigem Code während der Deserialisierung. Die Angriffsfläche ist aufgrund des üblichen Modell-Sharings und des Vertrauens in Checkpoint-Dateien erheblich, insbesondere da diese Prozesse oft mit erhöhten Berechtigungen ausgeführt werden. Ein bösartiger Checkpoint könnte Systembefehle ausführen, bevor Modellgewichte geladen werden. Die realen Auswirkungen umfassen Remote-Code-Ausführung, Privilegienerweiterung, Datenexfiltration und Supply-Chain-Angriffe. NVIDIA hat die Schwachstelle durch die Implementierung eines benutzerdefinierten Laderahmens behoben, der die Deserialisierung auf zugelassene Klassen beschränkt. Dieser Vorfall unterstreicht die allgegenwärtigen Sicherheitsprobleme im ML/AI-Ökosystem aufgrund der Abhängigkeit von Pickle. Entwickler werden dringend aufgefordert, Pickle für nicht vertrauenswürdige Daten zu vermeiden, `weights_only=True` zu verwenden, zugelassene Klassen einzuschränken und sichere Serialisierungsformate wie Safetensors in Betracht zu ziehen. Organisationen sollten die Herkunft von Modellen prüfen, Signaturen implementieren und das Laden von Modellen in einer Sandbox durchführen. Die ML-Community muss sich von Pickle lösen und Sicherheit bei der Gestaltung von Frameworks priorisieren.

Adobe hat im September neun Sicherheitsbulletins veröffentlicht, die 22 eindeutige CVEs in verschiedenen Produkten wie Acrobat Reader, After Effects und Premiere Pro beheben. Nur das ColdFusion-Update wird als Priorität 1 eingestuft, obwohl keine Ausnutzung festgestellt wurde. Das Commerce-Update behebt einen einzigen kritischen Fehler, ebenfalls ohne festgestellte Ausnutzung. Acrobat erhält einen Patch für einen kritischen und einen moderaten Fehler. After Effects enthält Korrekturen für drei wichtige Fehler. Premiere Pro erhält einen Patch für eine potenzielle Codeausführungs-Schwachstelle. Substance 3D Viewer und Modeler haben jeweils drei behobene Codeausführungsfehler. Experience Manager hat mit sieben die meisten Korrekturen, von denen eine kritisch ist. Der Patch von Dreamweaver korrigiert einen Cross-Site-Request-Forgery-Fehler. Keine der Adobe-Schwachstellen im September war zum Zeitpunkt der Veröffentlichung öffentlich bekannt oder wurde aktiv ausgenutzt. Microsoft hat im September 80 neue CVEs veröffentlicht, die Windows, Office, Azure und mehr abdecken, wobei acht als kritisch und die restlichen als wichtig eingestuft wurden. Diese Menge setzt Microsoft deutlich vor den Patch-Veröffentlichungen des Vorjahres. Ein öffentlich bekannter Fehler existiert, aber keiner wird aktiv angegriffen. Eine kritische Schwachstelle in Microsoft HPC Pack ermöglicht die Remote-Codeausführung ohne Benutzerinteraktion. Microsoft Office weist weiterhin Codeausführungs-Schwachstellen über seine Vorschau-Funktion auf. Eine Windows NTLM Elevation of Privilege-Schwachstelle ermöglicht die Eskalation auf SYSTEM mit geringer Ausnutzungskomplexität.

Adobe und Microsoft haben ihre monatlichen Sicherheitspatches veröffentlicht. Adobe behebt 68 CVEs in verschiedenen Produkten wie Commerce, Illustrator und Photoshop. Microsoft hat substanzielle 107 neue CVEs veröffentlicht, die Windows, Office, Edge und andere Dienste betreffen – die höchste Anzahl seit 2020. Die Priorität für Adobe-Updates liegt bei Commerce und InCopy aufgrund kritischer Schwachstellen. Microsofts Patches beinhalten mehrere hochkritische Schwachstellen wie GDI+ und Windows Graphics Component RCEs, die über das Web-Browsing ausnutzbar sind. Microsoft Office ist erneut von Schwachstellen in der Vorschau-Ansicht betroffen, und SharePoint hat eine kritische RCE, die den kürzlich aufgetretenen Angriffen ähnelt. Unter den Microsoft-Korrekturen sind 12 als kritisch eingestuft, die Mehrheit davon als wichtig. Eine öffentlich bekannte Schwachstelle existiert in Microsofts Veröffentlichungen, aber es werden keine aktiv ausgenutzten gemeldet. Adobes Patches listen keine öffentlich bekannten oder aktiv ausgenutzten Schwachstellen auf. Benutzern wird geraten, die identifizierten kritischen Probleme beider Anbieter vorrangig zu patchen. Die vollständigen Details und die Aufzeichnung des Webcasts sind zur weiteren Überprüfung verfügbar.

"Pwn2Own kehrt vom 21. bis 24. Oktober 2025 nach Cork, Irland, zurück, wobei Meta als Mitveranstalter hinzukommt. Für einen 0-Klick-WhatsApp-Bug, der zur Codeausführung führt, wird eine beträchtliche Prämie von 1.000.000 US-Dollar ausgelobt. Die Veranstaltung wird acht Zielkategorien umfassen, darunter Mobiltelefone, Messaging, SOHO Smashup, Smart Home-Geräte, Drucker, NAS-Geräte, Überwachungssystem-Geräte und Wearables. Zu den Zielgeräten für Mobiltelefone gehören nun auch USB-Angriffsvektoren, während die Kategorie SOHO Smashup noch anspruchsvoller gestaltet wurde. Smart Home-Geräte und Überwachungssystem-Geräte sind aus früheren Kategorien zusammengefasst. Bei den Druckern wird Brother als neues Ziel zusätzlich zu den bestehenden aufgeführt. NAS-Geräte von Synology und QNAP sind enthalten, wobei bestimmte Synology-Pakete im Fokus stehen. Zu den Wearable-Zielen gehören Meta Ray-Ban Smart Glasses und Meta Quest 3/3S mit unterschiedlichen Preiskategorien für Interaktionsanforderungen. Der Titel "Master of Pwn" wird dem Gesamtsieger anhand der gesammelten Punkte verliehen. Die Registrierung endet am 16. Oktober 2025 um 17:00 Uhr irischer Zeit, wobei keine Ausnahmen für verspätete Anmeldungen gemacht werden."

"Ein Schwachpunkt in Cisco Identity Services Engine (ISE), speziell in der enableStrongSwanTunnel-Methode, ermöglichte die Eingabe von Befehlen als Root. Dies wurde ursprünglich als Deserialisierungs-Schwachstelle gemeldet, aber auch eine Schwachstelle für die Eingabe von Befehlen entdeckt. Der Forscher Kentaro Kawane entdeckte, dass Daten, die von einem Angreifer bereitgestellt wurden, verwendet wurden, um Shell-Skripte mit sudo-Rechten auszuführen. Die Ausnutzung erwies sich als komplexer als ursprünglich erwartet, weil die Java-Methode exec() Befehle tokenisiert. Java's StringTokenizer ignoriert Anführungszeichen, was die direkte Ausführung von Befehlen verhindert; jedoch umging der Forscher dies, indem er die interne Variable für den Feldtrenner (${IFS}) von Bash verwendete. Dies ermöglichte die Eingabe von Befehlen als einziges Argument, wodurch Tokenisierungsprobleme vermieden wurden. Die eingegebenen Befehle liefen zunächst innerhalb eines Docker-Containers, aber weil der Container in privilegierter Mode lief, verwendete der Forscher eine "User-Mode-Helpers"-Technik, um den Container zu verlassen und Root-Zugriff auf das Host-System zu erlangen. Eine Base64-Codierung wurde verwendet, um die Begrenzung des Leerzeichens in der Payload zu umgehen. Der vollständige Exploit umfasste das Senden einer speziell gestalteten POST-Anfrage an das verwundbare Endpoint. Diese erfolgreiche Ausnutzung demonstriert eine Kombination von Schwachstellen, die zu einer vollständigen Systemkompromittierung führen. Der Forscher betont die Wichtigkeit des Verständnisses sowohl des Verhaltens von Java's exec() als auch der Fähigkeiten privilegierter Docker-Container. Weitere Forschung in diesem Bereich ist geplant."

Manfred Paul nutzte eine Schwachstelle (CVE-2025-4919, ZDI-25-291) im IonMonkey-JavaScript-JIT-Compiler von Firefox während des Pwn2Own Berlin 2025 aus. Die Schwachstelle befand sich in der `ExtractLinearSum`-Funktion, die für die Vereinfachung linearer Ausdrücke verwendet wird. Diese Funktion behandelte den `Modulo`-Mathematikraum inkorrekt, was zu Problemen bei den Grenzprüfungen führte. Die `TryEliminateBoundsCheck`-Funktion, die `ExtractLinearSum` nutzte, kombinierte Grenzprüfungen ohne Berücksichtigung möglicher ganzzahliger Überläufe. Dieser Fehler ermöglichte es, Grenzprüfungen in großen typisierten Arrays zu umgehen. Das Ausnutzen dieser Schwachstelle erforderte die Erstellung eines großen typisierten Arrays und die Manipulation von Indizes, um einen out-of-bounds-Lese- oder Schreibzugriff auszulösen. Der Exploit verwendete bitweise Operationen, um Zwangsadditionen zu erzwingen und die Grenzprüfungsbeseitigung zu täuschen. Ein BigInt wurde verwendet, um Compiler-Optimierungen zu verhindern, die den Exploit sonst behindert hätten. Die Wurzel der Schwachstelle liegt in der inkonsistenten Handhabung des Mathematikraums innerhalb der verschiedenen Aufrufstellen der `ExtractLinearSum`-Funktion. Ähnliche Schwachstellen könnten in anderen Teilen des Ion-Compilers existieren, die `ExtractLinearSum` für Schleifenanalyse verwenden. Mozilla patchte die Schwachstelle in Firefox 138.0.4. Der Exploit demonstrierte die Gefahr unkontrollierter ganzzahliger Operationen in JIT-Compilern.

"Adobe hat seine geplanten Patches für Juli noch nicht veröffentlicht, aber Microsoft hat 130 neue CVEs in verschiedenen Produkten, darunter Windows, Office und Azure, veröffentlicht. Acht dieser Fehler wurden über das Trend ZDI-Programm gemeldet, was die Gesamtzahl auf 140 CVEs erhöht. Zehn der Patches sind als "Kritisch" und der Rest als "Wichtig" eingestuft. Ein Fehler ist öffentlich bekannt, aber derzeit sind keine unter aktivem Angriff. Ein bemerkenswerter Fehler ist CVE-2025-47981, ein Heap-basierter Pufferüberlauf in der Windows SPNEGO Extended Negotiation-Komponente, der es entfernten, unauthentifizierten Angreifern ermöglicht, Code auszuführen. Ein weiterer kritischer Fehler ist CVE-2025-49717, ein Heap-basierter Pufferüberlauf in Microsoft SQL Server, der zur Codeausführung führen könnte. Ein dritter kritischer Fehler ist CVE-2025-49704, eine Remote-Codeausführungsschwachstelle in Microsoft SharePoint, die bei einer Pwn2Own Berlin-Demonstration genutzt wurde. Es gibt auch vier kritisch bewertete Office-Fehler, von denen alle die Vorschauansicht als Angriffsvektor aufweisen. Microsoft hat für Microsoft Office LTSC für Mac 2021 und 2024 noch keine Updates veröffentlicht. Die vollständige Liste der von Microsoft für Juli 2025 veröffentlichten CVEs wird bereitgestellt."

Der Text befasst sich mit dem Zugriff auf eMMC-Speicher, ohne ihn von einem Gerät zu entfernen, ein Prozess, der dem anspruchsvollen BGA-Reballing vorzuziehen ist. Der Autor möchte einen strukturierten Leitfaden für das Lesen und Schreiben von Daten auf eMMC-Chips bereitstellen. Zu den Voraussetzungen gehören ein zu analysierendes Gerät, ein Schnittstellengerät und eine Mikrolötausrüstung. Wichtige eMMC-Signale wie CLK, CMD, DAT0 und Stromleitungen werden erläutert. Der Text beschreibt den Prozess der Lokalisierung von eMMC-Signalen auf einer Platine, typischerweise unter Verwendung eines Logikanalysators. Die Stromversorgung des eMMC-Chips wird angesprochen, wobei unter Berücksichtigung potenzieller Risiken empfohlen wird, entweder das Netzteil des Geräts oder ein externes Netzteil zu verwenden. Der Text unterstreicht die Notwendigkeit, VDD- und VDDQ-Spannungen zu ermitteln und bei Bedarf die Spannungspegelumrechnung zu berücksichtigen, insbesondere bei Geräten mit niedrigeren Spannungen. Das Dokument bietet einen Ausgangspunkt für den Zugriff auf die auf der eMMC gespeicherten Daten, ohne den Chip zu entlöten.

Adobe hat sieben Sicherheitsmeldungen veröffentlicht, die sich mit 254 CVEs in verschiedenen Produkten befassen, darunter Acrobat Reader, Experience Manager und Substance 3D Sampler. Keiner der von Adobe behobenen Fehler ist als öffentlich bekannt oder unter aktivem Angriff gelistet. Microsoft hat 66 neue CVEs veröffentlicht, von denen 10 als kritisch und die restlichen als wichtig eingestuft werden. Ein Fehler wird als unter aktivem Angriff gelistet, und einer ist öffentlich bekannt. Ein kritischer Fehler in WEBDAV zwingt Windows, den veralteten Internet Explorer zu verwenden, was die Ausführung von Code ermöglicht. Ein weiterer kritischer Fehler in Netlogon ermöglicht es Angreifern, Code auf Domänencontrollern auszuführen. Ein Fehler in Office ermöglicht die Codeausführung ohne Benutzerinteraktion, und vier weitere Office-bezogene Fehler sind ebenfalls als kritisch eingestuft. Microsoft listet einen Fehler als unter aktivem Angriff und einen anderen als öffentlich bekannt. Die von beiden Unternehmen veröffentlichten Patches sollten so schnell wie möglich angewendet werden, um potenzielle Angriffe zu verhindern.

Der dritte und letzte Tag von Pwn2Own 2025 in Berlin ist abgeschlossen, mit insgesamt 1.078.750 US-Dollar Preisgeldern während des Events. Das STAR Labs SG-Team gewann den Titel Master of Pwn, verdiente 320.000 US-Dollar und 35 Master-of-Pwn-Punkte. Sieben der 28 einzigartigen 0-Tage, die während des Events offengelegt wurden, kamen aus der Kategorie Künstliche Intelligenz. Angelboy vom DEVCORE-Forschungsteam demonstrierte eine Privilegien-Eskalation auf Windows 11, verdiente 11.250 US-Dollar und 2,25 Master-of-Pwn-Punkte. FPT NightWolf konnte erfolgreich NVIDIA Triton ausnutzen, verdiente 15.000 US-Dollar und 1,5 Master-of-Pwn-Punkte. Manfred Paul nutzte einen Integer-Überlauf aus, um Mozilla Firefox auszunutzen, verdiente 50.000 US-Dollar und 5 Master-of-Pwn-Punkte. Nir Ohfeld und Shir Tamari nutzten das NVIDIA-Container-Toolkit aus, verdiente 30.000 US-Dollar und 3 Master-of-Pwn-Punkte. Dung und Nguyen von STARLabs konnten die VM verlassen und Privilegien auf Windows eskalieren, verdiente 70.000 US-Dollar und 9 Master-of-Pwn-Punkte. Das Event endete mit Miloš Ivanović, der Privilegien auf SYSTEM auf Windows 11 eskalierte, verdiente 15.000 US-Dollar und 3 Master-of-Pwn-Punkte.

Der zweite Tag von Pwn2Own Berlin endete mit einer Preisgeldvergabe von 435.000 US-Dollar, womit das gesamte Preisgeld des Wettbewerbs bisher 695.000 US-Dollar beträgt. Forscher demonstrierten im Laufe des Wettbewerbs bisher 20 einzigartige Zero-Day-Schwachstellen. FuzzingLabs nutzte NVIDIA Triton mit einer bekannten, aber ungepatchten Schwachstelle aus, was ihnen eine Teilauszahlung einbrachte. Viettel Cyber Security nutzte Microsoft SharePoint erfolgreich mithilfe eines Authentication Bypass und unsicherer Deserialisierung aus. STAR Labs erzielte eine historische Premiere, indem sie VMware ESXi mit einem Integer Overflow ausnutzten. Palo Alto Networks nutzte Mozilla Firefox mithilfe eines Out-of-Bounds-Write aus. Wiz Research nutzte Redis erfolgreich aus und verbuchte damit einen weiteren Sieg in der AI-Kategorie. Qrious Secure erzielte einen vollen Sieg gegen NVIDIA Triton mit einer Vier-Fehler-Kette. Viettel Cyber Security führte außerdem einen Gast-zu-Host-Escape auf Oracle VirtualBox durch. STAR Labs eskalierte darüber hinaus die Privilegien auf Red Hat Enterprise Linux.

Pwn2Own Berlin 2025 begann mit elf Versuchen, darunter die erste Kategorie für Künstliche Intelligenz. Der erste Tag endete mit einer Auszeichnung von 260.000 US-Dollar und STAR Labs übernahm frühzeitig die Führung. Das DEVCORE-Forschungsteam erhöhte erfolgreich die Privilegien auf Red Hat Linux mittels Integer-Überlauf und erhielt 20.000 US-Dollar. Das Summoning-Team nutzte einen bekannten Fehler, um NVIDIA Triton auszunutzen, und erhielt 15.000 US-Dollar. STAR Labs SG erreichte SYSTEM-Ebene-Zugriff auf Windows 11 mittels Use-After-Free- und Integer-Überlauf und gewann 30.000 US-Dollar. Theori erhöhte erfolgreich die Privilegien auf Root-Ebene auf Red Hat Linux, trotz der Verwendung eines N-Tag-Bugs, und erhielt 15.000 US-Dollar. Das Summoning-Team sicherte den ersten AI-Kategorie-Sieg mit einem Chroma-Ausnutzung und erhielt 20.000 US-Dollar. Marcin Wiązowski erhöhte die Privilegien auf Windows 11 mittels Out-of-Bounds-Schreibzugriff und erhielt 30.000 US-Dollar. Das Team Prison Break entkam Oracle VirtualBox mittels Integer-Überlauf und gewann 40.000 US-Dollar. Viettel Cyber Security nutzte einen bekannten Fehler, um NVIDIA Triton auszunutzen, und erhielt 15.000 US-Dollar. Out Of Bounds erhielt 15.000 US-Dollar für eine Typ-Verwirrung-Erhöhung auf Windows 11. STAR Labs nutzte einen Use-After-Free-Fehler im Linux-Kernel, um Docker Desktop zu entkommen, und erhielt 60.000 US-Dollar.

Die erste Pwn2Own Berlin findet im Rahmen der OffensiveCon-Konferenz statt und bietet eine neue Kategorie für Künstliche Intelligenz (KI). Das Event hat Spitzenforscher im Bereich Sicherheit versammelt, um die Sicherheit verschiedener Systeme zu testen. Der Zeitplan für die dreitägige Veranstaltung wurde zufällig ausgelost und enthält Ziele wie den NVIDIA Triton Inference Server, Microsoft Windows 11 und Oracle VirtualBox. Forscher werden in Kategorien wie KI, Lokale Privilegien-Eskalation, Virtualisierung und mehr konkurrieren. Die Gewinner werden Bargeldpreise und Master of Pwn Punkte erhalten, wobei der höchste Preis 150.000 Dollar und 15 Master of Pwn Punkte beträgt. Die Veranstaltung wird live-getweeted, mit Ergebnissen, die auf Social-Media-Plattformen unter dem Hashtag #P2OBerlin veröffentlicht werden. Die Veranstaltung wird von Trend Micro organisiert und alle Rechte sind vorbehalten. Der Zeitplan umfasst 25 Versuche, verschiedene Systeme auszunutzen, wobei mehrere Forscher dieselben Systeme anvisieren. Die Veranstaltung zielt darauf ab, die Sicherheit dieser Systeme zu testen und die Forscher zu belohnen, die sie erfolgreich ausnutzen.

Adobe veröffentlichte 13 Sicherheitsbulletins, die 40 CVEs in Produkten wie Cold Fusion, Lightroom und Photoshop behoben. Keiner der Fehler ist öffentlich bekannt oder wird derzeit aktiv ausgenutzt. Microsoft veröffentlichte 75 neue CVEs, von denen 12 als kritisch und der Rest als wichtig eingestuft. Fünf Fehler werden derzeit im wilden ausgenutzt, einschließlich einer Scripting-Engine-Speicher-Korruptions-Schwachstelle und einer Windows-Common-Log-File-System-Treiber-Erweiterung-Schwachstelle. Andere bemerkenswerte Patches umfassen eine Windows-Auxiliary-Funktion-Treiber-Erweiterung-Schwachstelle für WinSock und eine Microsoft-DWM-Core-Bibliothek-Erweiterung-Schwachstelle. Microsoft patchte auch mehrere Office-bezogene Fehler, die ein Zeichen für kommende Angriffe sein könnten. Die Patches umfassen Fehlerbehebungen für Azure, .NET und andere Produkte. Keiner der Fehler, die Adobe in diesem Monat behoben hat, wird als öffentlich bekannt oder unter aktiver Ausnutzung aufgeführt. Microsoft listet fünf Fehler als unter aktiver Ausnutzung auf, zwei anderen sind öffentlich bekannt.

"Im Apple macOS Betriebssystem wurde eine Codeausführungs-Schwachstelle entdeckt, und zwar im Scriptable Image Processing System (sips) Utility. Die Schwachstelle beruht auf der fehlenden ordnungsgemäßen Validierung der Tag-Typen "lutAToBType" und "lutBToAType" in ICC-Profildateien. Ein Remote-Angreifer kann diese Schwachstelle ausnutzen, indem er ein Opfer dazu verleitet, eine speziell präparierte Datei zu öffnen, was zur Codeausführung auf dem Rechner des Opfers im Kontext des laufenden Prozesses führt. Die Schwachstelle liegt in der Funktion sub_1000194D0(), die die getaggten Elementdaten in ICC-Profildateien verarbeitet. Die Funktion validiert den Wert des Feldes "Offset to CLUT" nicht ordnungsgemäß, was es einem Angreifer ermöglicht, einen Offset festzulegen, der der Gesamtlänge der getaggten Elementdaten entspricht, wodurch die Funktion Speicher über das Ende des Heap-allozierten Puffers hinaus lesen und verändern kann. Ein Remote-Angreifer kann diese Schwachstelle ausnutzen, indem er eine bösartige ICC-Profildatei erstellt und das Opfer dazu verleitet, diese mit einer anfälligen Version der sips-Tools zu verarbeiten. Um einen Angriff zu erkennen, der diese Schwachstelle ausnutzt, müssen Erkennungsgeräte den Datenverkehr auf bestimmten Ports und Diensten überwachen und analysieren sowie den Inhalt von ICC-Profildateien inspizieren. Das Erkennungsgerät sollte das Feld der Profilsignatur überprüfen und die Größe der Tag-Tabelle berechnen sowie die getaggten Elementdaten auf verdächtige Aktivitäten untersuchen. Apple hat diese Schwachstelle behoben, und es wurden keine Angriffe in freier Wildbahn festgestellt. Es wird empfohlen, den Vendor-Patch anzuwenden, um dieses Problem vollständig zu beheben."

Adobe hat 12 Sicherheitsbulletins veröffentlicht, die 54 CVEs in verschiedenen Produkten beheben, darunter Cold Fusion, After Effects und Photoshop. Keine der von Adobe in diesem Monat behobenen Fehler sind als öffentlich bekannt oder aktiv ausgenutzt gelistet. Microsoft hat Patches für 134 CVEs veröffentlicht, darunter 11 kritische und 2 Schwachstellen mit geringer Schwere. Einer der Fehler, CVE-2025-29824, wird derzeit aktiv ausgenutzt und ermöglicht es einem Angreifer, Code mit SYSTEM-Privilegien auszuführen. Weitere bemerkenswerte Schwachstellen sind CVE-2025-26663 und CVE-2025-26670, die die Remote-Code-Ausführung über LDAP ermöglichen, sowie CVE-2025-27480 und CVE-2025-27482, die die Code-Ausführung über Remote Desktop Services ermöglichen. Microsoft hat außerdem Patches für verschiedene andere Produkte veröffentlicht, darunter Office, Azure und .NET. Die Patches beheben eine Reihe von Schwachstellen, darunter Erhöhung von Berechtigungen, Remote-Code-Ausführung und Offenlegung von Informationen. Nur einer der von Microsoft in diesem Monat behobenen Fehler ist als öffentlich bekannt oder aktiv ausgenutzt gelistet. Es wird empfohlen, die Patches schnell zu testen und bereitzustellen, um potenzielle Angriffe zu verhindern.

Use-after-free-Fehler, eine Art von Speicherbeschädigung, sind schwierig zu erkennen, wenn sie statisch analysiert werden. Dieser Beitrag untersucht die Verwendung von Binary Ninjas MLIL, um einen Datenflussgraphen zu erstellen, der die Interaktionen bei der Speicherzuweisung nachverfolgt. Der Graph stellt Speicherbereiche als Knoten und Pointer-Speicherungen als Kanten dar, wobei Knoten für die Zuweisung, den Stack-Frame, den dynamischen Speicher und den globalen Speicher verwendet werden. SSA-Variablen werden Knoten zugeordnet und Offsets werden gespeichert, um Pointer-Arithmetik darzustellen. Speicher-Speicher- und Ladeoperationen erstellen Graphkanten, wobei angenommen wird, dass vorherige Initialisierung für Ladeoperationen außerhalb des Funktionsumfangs erfolgt ist. Informationen werden durch den Graphen basierend auf SSA-Variablen-Zuweisungen und Offset-Berechnungen während der Pointer-Arithmetik propagiert. Aufrufe werden analysiert, wenn Argumente Zuordnungen oder Stack-Offsets bestimmte Bedingungen erfüllen, wobei Rekursion gemanagt wird, um unendliche Schleifen zu vermeiden. Nach der Graphenerstellung werden Anweisungen, die von dem nachverfolgten Zuweisungsknoten abhängig sind, protokolliert. Diese Analyse hilft, potenzielle UAF-Schwachstellen durch kontextunabhängige Erreichbarkeit zu identifizieren. Der Ansatz erkennt an, dass inhärente Klassifikationsfehler bei der statischen Analyse auftreten können, aber adaptierbare Primitiven für andere Schwachstellen hervorhebt.

Der Artikel beschreibt die Entwicklung eines Elektrofahrzeug-Simulators (EV-Simulator) zur Erforschung und zum Reverse-Engineering von Ladeeinrichtungen für Elektrofahrzeuge der Stufe 2 (EVSE). Der Simulator ist so konzipiert, dass er das Verhalten eines Elektrofahrzeugs nachbildet und es Forschern ermöglicht, die EVSE in verschiedenen Zuständen, wie z. B. Laden und Leerlauf, zu testen. Der EV-Simulator basiert auf dem SAE J1772-Standard, der das Kommunikationsprotokoll zwischen EVSE und Elektrofahrzeug definiert. Der Simulator verwendet einen Drehschalter zur Simulation verschiedener Widerstandswerte, die zur Kommunikation mit der EVSE verwendet werden. Das Gerät enthält außerdem eine Diode und ein kostengünstiges Oszilloskop zur Überwachung des vom EVSE gesendeten PWM-Signals. Die Autoren betonen die Bedeutung der Sicherheit beim Umgang mit Hochspannungsgeräten und liefern eine Liste der verwendeten Komponenten zum Bau des Simulators. Das Gerät wurde an mehreren Ladegeräten der Stufe 2 verschiedener Hersteller getestet und hat diese erfolgreich in den Ladezustand versetzt. Die Autoren erwähnen auch vorgefertigte Alternativen, die für die Forschung verwendet werden können, bemerken aber, dass diese möglicherweise nicht den gleichen Grad an Kontrolle und Messgenauigkeit bieten wie der selbstgebaute Simulator. Der Artikel schließt mit der Hervorhebung der Bedeutung der fortgesetzten Forschung zur Sicherheit von EVSE und dem Potenzial für zukünftige Wettbewerbe und Veranstaltungen zu diesem Thema.

Adobe hat sieben Sicherheitsbulletins veröffentlicht, die 37 CVEs (Common Vulnerabilities and Exposures) in verschiedenen Produkten beheben, darunter Acrobat Reader, Illustrator und Substance 3D. Sechs dieser Fehler wurden über das ZDI-Programm gemeldet, und die Patches für Reader, Illustrator und InDesign beheben als kritisch eingestufte Code-Ausführungsfehler. Keiner der von Adobe in diesem Monat behobenen Fehler wird als öffentlich bekannt oder unter aktivem Angriff aufgeführt. Microsoft hat 56 neue CVEs in Windows, Office, Azure und anderen Produkten veröffentlicht, von denen sechs als kritisch und 50 als wichtig eingestuft werden. Einer der aktiv ausgenutzten Fehler wurde über das Trend ZDI-Programm gemeldet, und sechs weitere sind als unter aktivem Angriff gelistet. Zu den ausgenutzten Fehlern gehören eine Sicherheitsumgehungs-Schwachstelle in der Microsoft Management Console, eine Remote-Code-Ausführungs-Schwachstelle in Windows NTFS und eine Schwachstelle zur Rechteerweiterung im Windows Win32 Kernel Subsystem. Microsoft hat außerdem Patches für andere Schwachstellen veröffentlicht, darunter Remote-Code-Ausführung, Rechteerweiterung und Offenlegung von Informationen. Das Unternehmen hat keine Informationen darüber gegeben, wie weit verbreitet die Angriffe sind, empfiehlt jedoch, die Patches schnell zu testen und bereitzustellen. Die vollständige Liste der von Microsoft für März 2025 veröffentlichten CVEs umfasst 67 Schwachstellen.

Ein Schwachpunkt im Microsoft Windows Key Distribution Center (KDC)-Proxy wurde entdeckt, der die Ausführung von beliebigem Code im Sicherheitskontext des Ziel-Dienstes ermöglicht. Der Schwachpunkt ist auf eine fehlende Überprüfung der Länge von Kerberos-Antworten zurückzuführen, was zu einem Integer-Überlauf führen kann. Ein entfernter, nicht authentifizierter Angreifer kann den KDC-Proxy dazu bringen, eine Kerberos-Anfrage an einen Server unter seiner Kontrolle weiterzuleiten, der dann eine gefälschte Kerberos-Antwort zurücksendet. Der KDC-Proxy liest 4 Bytes aus dem Netzwerk-Socket, um die Länge der Kerberos-Antwort zu erhalten, aber validiert die Länge nicht, was zu einem Integer-Überlauf führt. Der Schwachpunkt wird ausgelöst, wenn der KDC-Proxy versucht, die vollständige Antwort zu lesen, und der Code-Fluss zwischen Funktionen des KDC-Proxy-Servers und der Microsoft ASN.1-Bibliothek wechselt. Der Schwachpunkt kann durch Senden einer gefälschten Kerberos-Antwort an den KDC-Proxy ausgenutzt werden, der dann die Antwort in eine KDC-Proxy-Nachricht einpackt und sie an den Client zurücksendet. Der Schwachpunkt wurde von Microsoft behoben, und Benutzer werden gebeten, das Patch zu installieren, um die Ausnutzung zu verhindern. Der Schwachpunkt betrifft Microsoft Windows Server-Betriebssysteme und kann remote ausgenutzt werden. Der KDC-Proxy wird verwendet, um Remote-Arbeitslasten wie RDP-Gateway und DirectAccess zu ermöglichen, und wird normalerweise auf domain-gekoppelten Maschinen ausgeführt.

Der Wettbewerb Pwn2Own zieht nach Berlin, Deutschland, und findet vom 15. bis 17. Mai 2025 auf der OffensiveCon-Konferenz statt. Die Veranstaltung wird eine neue Kategorie mit dem Schwerpunkt Künstliche Intelligenz (KI) mit sechs Zielen in verschiedenen Frameworks umfassen. Die KI-Kategorie erfordert von den Teilnehmern, dass sie willkürlichen Code ausführen, um zu gewinnen. Die Kategorie Cloud-Native/Container wird ebenfalls zurückkehren, ebenso wie die Tesla-Kategorie, die seit 2019 Teil des Wettbewerbs ist. Die klassischen Kategorien, einschließlich Webbrowsern, Betriebssystemen und Enterprise-Servern, werden ebenfalls vorgestellt. Der Wettbewerb bietet über 1.000.000 US-Dollar in bar und Preisen und der Master of Pwn wird dem Teilnehmer mit den meisten Punkten am Ende des Wettbewerbs verliehen. Die Regeln für den Wettbewerb wurden veröffentlicht und eine Registrierung ist erforderlich, um teilzunehmen. Die Veranstaltung ist derzeit ausverkauft, aber Tickets könnten für die Öffentlichkeit verfügbar werden. Die Konferenz hat bereits ihre erste Charge an Tickets in unter sechs Stunden ausverkauft und wird voraussichtlich eine fantastische Veranstaltung mit einigen der besten Sicherheitsforscher der Welt sein.

Am Patch Tuesday im Februar 2025 veröffentlichten Microsoft und Adobe kritische Sicherheitsupdates. Adobe behob 45 CVEs in verschiedenen Anwendungen, darunter kritische Schwachstellen für Code-Ausführung in InDesign und Illustrator. Keine Adobe-Schwachstellen waren öffentlich bekannt oder wurden aktiv ausgenutzt. Microsoft veröffentlichte 67 CVEs, darunter zwei von Trend ZDI, für verschiedene Produkte. Vier davon waren entweder öffentlich bekannt oder wurden aktiv ausgenutzt. Zwei kritische Windows-Schwachstellen, CVE-2025-21391 und CVE-2025-21418, ermöglichten die Erhöhung von Privilegien und wurden aktiv ausgenutzt. Eine weitere kritische Schwachstelle, CVE-2025-21376, ermöglichte die Remote-Code-Ausführung in Windows LDAP. Eine kritische Schwachstelle in Microsoft Excel, CVE-2025-21387, wurde auch behoben, die den Vorschau-Bereich betraf. Microsoft forderte eine schnelle Überprüfung und Bereitstellung dieser Patches aufgrund der Schwere und aktiven Ausnutzung einiger Schwachstellen. Das Gesamtvolumen der Patches galt im Vergleich zu vorherigen Veröffentlichungen als verhältnismäßig überschaubar.

Die Trend Zero Day Initiative (ZDI) blickt auf ihre Erfolge im Jahr 2024 zurück, darunter den Erfolg ihrer Pwn2Own-Wettbewerbe, bei denen über 3,5 Millionen US-Dollar für 148 einzigartige Zero-Day-Schwachstellen vergeben wurden. Das erste Pwn2Own-Automotive-Event im Januar 2024 setzte einen Rekord mit 1,323 Millionen US-Dollar an Preisen für 49 einzigartige Zero-Day-Schwachstellen. Die ZDI veröffentlichte 1.741 Berichte im Jahr 2024, ein leichter Rückgang im Vergleich zum Rekordhoch des Vorjahres. Die eigenen Forscher des Programms meldeten über 40% der veröffentlichten Berichte. Die koordinierte Offenlegung von Schwachstellen bleibt ein Priorität, wobei 9,7% der Offenlegungen im Jahr 2024 Zero-Day-Offenlegungen waren. Die Top-Anbieter mit veröffentlichten Berichten im Jahr 2024 waren AutoDesk, Delta Electronics und Apple. Trotz der Veröffentlichung weniger Fehler im Jahr 2024 offenlegte die ZDI mehr kritische und hohe Schwachstellen als im Jahr 2023. Die häufigsten Arten von Fehlern, die im Jahr 2024 gemeldet wurden, waren Stapelüberläufe und SQL-Injektionen. Im Blick auf 2025 erwartet die ZDI, beschäftigt zu bleiben mit den kommenden Pwn2Own-Wettbewerben und einem Rückstand von über 350 Fällen, die noch gepatcht werden müssen. Das Programm plant, seine Website und sein Blog zu aktualisieren, sein Video-Angebot zu erweitern und seine Outreach- und Akquisitionsbemühungen zu verfeinern, um besser auf die Risiken der Kunden abgestimmt zu sein.

Am dritten und letzten Tag des Pwn2Own Automotive 2025 führten mehrere Teams erfolgreich Exploits vor und verdienten sich damit insgesamt 71.750 US-Dollar und Master-of-Pwn-Punkte. Sina Kheirkhah vom Summoning Team gewann mit einem Preisgeld von 25.000 US-Dollar für die Exploitation des ChargePoint EV-Ladegeräts mit einem einzigen Fehler. Zu den anderen erfolgreichen Exploits gehörten der Integer-Überlauf des Synacktiv-Teams auf dem Sony IVI, der Exploit mit drei Fehlern von Bongeun Koo auf dem Ubiquiti-Ladegerät und der Stack-Puffer-Überlauf von Thanh Do auf dem Alpine iLX-507. Diese Exploits brachten die Gesamtprämien für die dreitägige Veranstaltung auf 718.250 US-Dollar für 39 eindeutige 0-Tage.

Der zweite Tag von Pwn2Own Automotive 2025 hat begonnen, nachdem am ersten Tag über 380.000 US-Dollar für 16 einzigartige 0-Tage-Exploits vergeben wurden. Heute wird die Wettbewerbsklasse mit dem Debüt des WOLFBOX- und Tesla-Ladegeräts fortgesetzt, wobei die Platzierungen im Laufe des Tages aktualisiert werden. Sina Kheirkhah vom Summoning-Team hat erfolgreich den WOLFBOX-Lader exploitiert und 50.000 US-Dollar sowie 5 Master-of-Pwn-Punkte erhalten, während die PHP-Hooligans auch Erfolg mit dem Tesla-Wall-Connector hatten und die gleiche Summe und Punkte erhielten. Die PHP-Hooligans nutzten einen Fehler bei der numerischen Bereichsvergleich ohne Mindestprüfung, um den Tesla-Wall-Connector zu übernehmen und abzustürzen, und demonstrierten damit die Schwachstellen dieser automobilen Systeme.

Willkommen zum ersten Tag von Pwn2Own Automotive 2025. Wir haben 18 Einträge zu bearbeiten, und wir werden die Ergebnisse hier aktualisieren, sobald wir sie haben. ERFOLG - Das Team von PCAutomotive nutzte einen stack-basierten Buffer-Overflow, um Code-Ausführung auf dem Alpine IVI zu erlangen. Sie verdienen $20.000 und zwei Master-of-Pwn-Punkte.

Der Pwn2Own-Wettbewerb für die Automobilindustrie bringt Spitzenforscher zusammen, um die neuesten Automobilkomponenten auf Schwachstellen zu überprüfen. Über drei Tage hinweg werden Forscher versuchen, Ziele in den Kategorien Ladestationen für Elektrofahrzeuge, In-Vehicle-Infotainment (IVI) und Betriebssysteme auszunutzen. Teilnehmer können Geldpreise und Master-of-Pwn-Punkte verdienen, basierend auf der Schwere und dem Auswirkungen ihrer Ausnutzung. Das Event features Forscher, die konkurrieren, um Schwachstellen in Produkten von Kenwood, Sony, Alpine, Tesla und anderen zu finden. Der Wettbewerbsplan enthält bestimmte Zeiten und Ziele für jeden Forscher. Die Ergebnisse des Wettbewerbs werden in Echtzeit über verschiedene soziale Medienplattformen und den offiziellen Blog bekannt gegeben und geteilt.

Die Infotainment-Einheit DMH-WT7600NEX von Pioneer für Fahrzeuge wurde als Ziel für den kommenden Pwn2Own-Automotive-Wettbewerb ausgewählt. Um Schwachstellen zu recherchieren, musste die Software der Einheit extrahiert werden, was sich aufgrund des Fehlens einer seriellen Konsole und eines verschlüsselten Software-Update-Pakets als herausfordernd erwies. Die Forscher entschieden sich, den eMMC-Inhalt im System zu extrahieren, indem sie sich über Testpunkte auf dem Board mit dem eMMC-Chip verbanden und den Haupt-SoC in den Reset-Modus setzten. Die extrahierten Daten enthüllten ein Linux-basiertes System mit einer GPT-Partitionstabelle und verschiedenen Partitionen, die den Bootloader, den Kernel und das Root-Dateisystem enthielten. Die Systempartition enthielt benutzerdefinierte Software, die sich in den /usr/local-Unterordnern konzentrierte. Das Software-Update-Paket wurde als strukturiert mit einem Header, einem RSA-Signaturblock und verschlüsselten Update-Daten gefunden. Die Forscher entdeckten auch eine serielle Konsole, indem sie die Bootloader-Partitionen untersuchten und die Backup-Partition manipulierten, um Konsolenausgaben und Anmeldenachrichten zu aktivieren. Die Bluetooth- und Wi-Fi-Konnektivität der Einheit sowie ihr USB-Anschluss bieten potenzielle Angriffsvektoren, wobei die Wi-Fi-Konnektivität die Entdeckung offener TCP-Ports und nicht standardmäßiger Dienste ermöglicht. Die Unterstützung der Einheit für verschiedene Audio- und Video-Dateiformate bietet auch eine potenzielle Quelle für ausnutzbare Fehler.

Die Angriffsfläche des Autel MaxiChargers wurde analysiert, um Inspiration für Schwachstellenforschung zu bieten. Zu dem Zeitpunkt der Schreibweise umfassten die Softwareversionen des Ladegeräts die Autel Charge-App v3.0.7, die Autel Config-App v2.1.0 und verschiedene Autel MaxiCharger-Module. Die Autel Charge-App ermöglicht es Benutzern, Ladungspläne zu definieren, Lasten auszugleichen und Wi-Fi-Anmeldedaten bereitzustellen, unter anderem. Wenn die App auf einem gerooteten Android-Gerät geladen wird, wird eine Superuser-Anfrage angezeigt, was auf Anti-Reversing-Maßnahmen hindeutet. Die Netzwerkverkehrsanalyse zeigte, dass der Ladegerät DNS-Anfragen an Autel-bezogene Infrastrukturen sendet und eine TLS-Sitzung mit dem Server herstellt. Der Ladegerät sendet periodisch Log-Daten an den Autel-Server, der mit JSON-Daten antwortet. Der Ladegerät lädt auch Firmware-Updates über HTTP herunter. Nachdem die Firmware aktualisiert wurde, kommuniziert der Ladegerät nur noch über HTTPS. Das Scannen des Ladegeräts über Wi-Fi zeigte keine offenen TCP- oder UDP-Ports, aber die UDP-Ports 6000 und 6666 scheinen über die Ethernet-Schnittstelle zuzuhören. Die Bluetooth Low Energy-Dienste des Ladegeräts bieten 14 Merkmale, die von der Autel Charge-App verwendet werden, um mit dem Ladegerät zu kommunizieren. Die Firmware des Haupt-Mikrocontrollers kann durch Abfangen des Aktualisierungsprozesses des Ladegeräts oder durch Reverse-Engineering der App, um die Download-URLs zu ermitteln, erlangt werden. Die Firmware des ESP32 WROOM 32D-Moduls kann mit dem standardmäßigen esptool.py von Espressif abgelegt werden. Andere potenzielle Angriffsflächen umfassen den nicht dokumentierten USB-C-Anschluss, den SIM-Karten-Schacht und den RFID-Leser.

Der Autel MaxiCharger AC Wallbox Commercial wurde für den Pwn2Own-Automotive-Wettbewerb ausgewählt, und interne Fotos der Hauptplatinen werden bereitgestellt, um die Forschung nach Schwachstellen zu unterstützen. Die Metrologie-Platine des Ladegeräts ist für die Leistungsüberwachung und die Stromversorgung des Ladekabels verantwortlich. Die Leistungsplatine verfügt über einen STM32F407ZGT6-Mikrocontroller, der über gebrochene Pins, einschließlich UART- und SWD-Pins, zugänglich ist. Die Hauptplatine behandelt Bluetooth-, Wi-Fi- und Ethernet-Kommunikationen und enthält ein Barrot BR8041A01 Bluetooth-Modul und ein ESP32 WROOM 32D-Modul. Der Hauptprozessor ist ein GD32F407ZGT6 ARM Cortex-M4-Mikrocontroller, der mit Schutzstufe 1 für Lesezugriff konfiguriert ist. Der Ladegerät verfügt auch über eine 4G-Mobilkommunikationsplatine mit einem Quectel EC25AFXDGA-Modul und einem SIM-Kartenfach. Das 4G-Modul kann über einen Micro-USB-Anschluss und eine UART-Verbindung zugänglich gemacht werden. Der Ladegerät hat auch eine NFC- und LED-Platine mit einem Fudan Microelectronics FM17660-Mehrfachprotokoll-Kontaktlos-Übertragung-IC. Die internen Komponenten des MaxiChargers sind ähnlich wie die des vorherigen Modells, was es Forschern erleichtert, auf bestehendem Wissen aufzubauen. Der Blog-Beitrag zielt darauf ab, einen Ausgangspunkt für die Schwachstellenforschung am Autel MaxiCharger bereitzustellen.

Adobe hat fünf Sicherheitsbulletins veröffentlicht, die 14 CVEs in verschiedenen Produkten beheben, darunter Photoshop, Substance 3D Stager, Illustrator auf dem iPad, Animate und Substance 3D Designer. Keiner der von Adobe in diesem Monat behobenen Fehler ist als öffentlich bekannt oder unter aktiven Angriffen gelistet. Microsoft hat 159 neue CVEs in verschiedenen Produkten veröffentlicht, darunter Windows, Office, Hyper-V, SharePoint Server, .NET und Visual Studio. Drei dieser CVEs wurden über das Trend ZDI-Programm eingereicht. 11 der von Microsoft veröffentlichten Patches sind als kritisch eingestuft, und die anderen 148 sind als wichtig eingestuft. Fünf der Fehler sind als öffentlich bekannt gelistet, und drei sind als unter aktiven Angriffen gelistet. Die kritischsten Schwachstellen sind die in Windows Hyper-V, Windows OLE, SPNEGO Extended Negotiation und Windows Remote Desktop Services. Diese Schwachstellen könnten willkürlichen Codeausführung, Privilegierung und Remote-Code-Ausführung ermöglichen. Es wird empfohlen, die Behebung dieser Schwachstellen zu priorisieren, insbesondere wenn Sie Systeme haben, die dem Internet ausgesetzt sind. Die große Anzahl der in diesem Monat behobenen CVEs könnte ein ominöses Zeichen für die Patch-Ebenen im Jahr 2025 sein.

Die Sony XAV-AX8500-Head-Einheit verfügt über einen einzelnen USB-C-Anschluss, der ein kabelgebundenes Android Auto und Apple CarPlay sowie die Wiedergabe von Audio- und Videodateien von einem USB-Stick unterstützt. Die unterstützten Audio-Dateiformate umfassen MP3, WMA, AAC, ALAC, WAV, FLAC und DSD, während die unterstützten Videodateiformate ASF, WMV und AVI sind. Die Head-Einheit ermöglicht es Benutzern auch, den Hintergrund durch Bereitstellung von JPEG-Bildern auf einem USB-Stick zu ändern, was eine komplexe Aufgabe sein kann. Firmware-Updates können über einen USB-Stick installiert werden, und der nächste Blog-Beitrag wird sich ausführlicher mit der Firmware der XAV-AX8500 befassen. Die Head-Einheit unterstützt Bluetooth-Version 5, die zum Telefonieren, Empfangen von Anrufen und Abspielen von Audio von einem gepaarten Mobiltelefon verwendet wird. Android Auto und Apple CarPlay nutzen Bluetooth in unterschiedlichem Ausmaß. Die Head-Einheit bietet einen Wi-Fi-Zugangspunkt, der hauptsächlich für drahtloses Android Auto und Apple CarPlay verwendet wird, und interne Recherchen haben eine Methode entdeckt, um das Passwort zu erhalten. Ein Port-Scan hat nur den TCP-Port 30515 als geöffnet erkannt, der in der Automobilindustrie nicht gut dokumentiert ist. Die Head-Einheit verwendet Open-Source-Software, einschließlich Python, Boost, Dropbear, Lame und mpg123, die veröffentlichte CVEs haben. Der Blog-Beitrag soll Inspiration für die Recherche von Sicherheitslücken bieten und Forscher dazu ermutigen, weiter zu recherchieren.

Für den bevorstehenden Pwn2Own Automotive-Wettbewerb wurden vier Headunits ausgewählt, darunter das Sony XAV-AX8500, das verschiedene Funktionen wie Android Auto und Apple CarPlay bietet. Das Innenleben des XAV-AX8500 kann durch Entfernen von Schrauben und Metallplatten geöffnet werden. Es kommen drei miteinander verbundene Platinen zum Vorschein, die über flache, flexible Kabel miteinander verbunden sind. Die Hauptplatine verfügt über einen NXP i.MX 8M Mini-Prozessor mit 4 Cortex-A53-Kernen und einem energieeffizienten Cortex M4 für geringere Lasten und Sicherheitsfunktionen. Der Prozessor wird von einem 8-GB-Nanya-NT6AN256T32AV-J2-SDRAM-Chip und einem 16-GB-Samsung-KLMAG1JETD-eMMC-Chip unterstützt. Die Hauptplatine umfasst außerdem einen Rohm-BD71847A-PMIC, einen unbenutzten Sockel, HDMI- und USB-C-Eingänge sowie ein Murata-LBEE5ZZ1PJ-Funkmodul für Wi-Fi und Bluetooth. Auf der Unterseite der Hauptplatine befindet sich ein Analog-Devices-ADV7482-Videodecoder- und HDMI-Empfängerchip. Eine kleinere Platine neben der Hauptplatine steuert GPS, iData Link und den optionalen Fernbedienungseingang mithilfe eines Unicorecomm UM220-INS NL GPS-Moduls. Eine größere Leiterplatte unter der Hauptplatine steuert die Stromversorgung und verschiedene Ein- und Ausgänge, einschließlich Audio und Video. Sie ist mit einem ON-Semiconductor-LC88FC2H0A-Mikrocontroller ausgestattet. Der Blogbeitrag soll genügend Informationen liefern, um die Schwachstellenforschung am XAV-AX8500 voranzutreiben, wobei in zukünftigen Beiträgen die Bedrohungslandschaft des Geräts behandelt wird. Der Pwn2Own Automotive-Wettbewerb soll im Januar 2025 in Tokio stattfinden. Dort wird die Sicherheit von IVI-Anbieterprodukten auf die Probe gestellt.

"Das Zero Day Initiative Threat Hunting-Team hatte ein arbeitsreiches Jahr 2024, bei dem es zahlreiche Kampagnen von Bedrohungsakteuren identifizierte, die Zero-Day-Schwachstellen ausnutzten, und neue Schwachstellen durch Forschung in der Wildnis entdeckte. Das Team hob mehrere wichtige Erfolge hervor, darunter die Entdeckung von Zero-Day-Exploits, die aktiv in der Wildnis ausgenutzt wurden, wie z.B. CVE-2024-21412, CVE-2024-29988, CVE-2024-38112 und CVE-2024-43461. Diese Schwachstellen wurden von den jeweiligen Software-Anbietern behoben und gepatcht, und Trend Micro-Kunden erhielten zusätzlichen Schutz durch virtuelle Patches. Das Team entdeckte auch Varianten dieser Schwachstellen, wie z.B. CVE-2024-38213 und CVE-2024-49041, die von Microsoft gepatcht wurden. Die Forschung des Teams hob die Notwendigkeit umfassender Patching und die Herausforderungen bei der Abwägung zwischen sofortiger Bedrohungsreaktion und systemischen Lösungen hervor. Das Team identifizierte auch Trends und Schwachstellen in der Software-Patching-Industrie, darunter den Anstieg der Sophistikation von Phishing-Kampagnen, eng gefasstes Patching und siloisierte Produktteams. Die Verwendung von künstlicher Intelligenz und großen Sprachmodellen ermöglichte es Bedrohungsakteuren, überzeugende Phishing-Inhalte zu generieren, was es schwierig machte, zwischen Phishing- und legitimen Inhalten zu unterscheiden. Das Team betonte die Wichtigkeit von "sicher von Beginn an" und "sicher standardmäßig"-Prinzipien, um Produkte sicherer zu machen, quer durch Anbieter und das Software-Ökosystem. Im Blick auf 2025 erwartet das Team, dass die Herausforderungen in der Software-Patching-Industrie weiter bestehen bleiben, einschließlich der Notwendigkeit umfassenderer Patching und besserer Kommunikation zwischen Produktteams."

Der Tesla Wall Connector ist eine Ladestation für Elektrofahrzeuge der Stufe 2, die für den Hausgebrauch entwickelt wurde. Er zeichnet sich durch eine minimalistische Benutzeroberfläche, WLAN-Konnektivität zur Konfiguration und einen NFC-Leser zur Benutzerauthentifizierung aus. Das Gerät verwendet einen ST STM32L431RCT6 ARM-Mikrocontroller mit 256 KB Flash-Speicher und ein AzureWave AW-CU300 WLAN-Modul für die Kommunikation. Die Firmware ist in zwei Teile unterteilt: den Bootloader und die Anwendung, wobei letztere bei Offset 0x5000 beginnt. Der Mikrocontroller übernimmt keine internetbasierte Kommunikation; diese wird vom Kommunikationsmodul abgewickelt. Das Gerät stellt für die Konfiguration und Verwaltung einen eigenen WLAN-Zugangspunkt bereit und kann so konfiguriert werden, dass es sich mit einem internetfähigen WLAN-Netzwerk verbindet. Ein Netzwerkscan ergab, dass die TCP-Ports 80 und 34578 sowie die UDP-Ports 67 und 5353 auf dem Gerät geöffnet sind. Das Gerät kommuniziert mit den Servern hermes-prd.sn.tesla.services, wc-maestro-prd.sn.tesla.services und s3-us-west-2.amazonaws.com, wobei für die ersten beiden TLS und für den dritten unverschlüsseltes HTTP verwendet wird. Das Software-Update-Paket war verschlüsselt, wobei der Verschlüsselungsalgorithmus oder der Schlüssel nicht identifiziert werden konnte. Zu den Angriffsflächen des Geräts gehören die WLAN-Schnittstelle, der NFC-Leser und der Netzwerkverkehr.

Im SolarWinds Access Rights Manager-Produkt wurden mehrere Schwachstellen gefunden, darunter Remote-Code-Ausführung vor der Authentifizierung und Dateilöschschwachstellen. Ein Forscher entdeckte 18 Schwachstellen im Produkt, darunter Dateilöschschwachstellen vor der Authentifizierung, die zur Eskalation von Berechtigungen auf Domänen-verbundenen Windows-Rechnern genutzt werden können. Die Schwachstellen wurden vom Anbieter mit dem ARM 2024.3-Update behoben. Der Forscher fand heraus, dass das Produkt mit einem Domänenkonto arbeitet, das ein hoch privilegiertes Dienstkonto oder ein Domänenadministratorkonto sein kann. Die Dateilöschschwachstellen vor der Authentifizierung können dazu verwendet werden, Dateien remote als hoch privilegiertes Domänenkonto zu entfernen. Der Forscher demonstrierte, wie die Dateilöschschwachstelle dazu genutzt werden kann, Berechtigungen auf jedem Windows-Rechner zu eskalieren, der mit der Domäne verbunden ist. Die Schwachstelle kann ausgenutzt werden, indem der Methode „File.Delete“ ein UNC-Pfad bereitgestellt wird, der es dem Angreifer ermöglicht, Dateien remote als Administrator zu entfernen. Der Forscher zeigte auch, wie die Schwachstelle dazu genutzt werden kann, Berechtigungen auf einem Rechner zu eskalieren, auf dem SolarWinds ARM nicht läuft. Der Angreifer kann die Dateilöschschwachstelle nutzen, um eine Datei von einem Rechner zu entfernen, den er kontrolliert, was es ihm ermöglicht, den Namen des SolarWinds ARM AD-Kontos zu ermitteln. Der Forscher kam zu dem Schluss, dass die Dateilöschschwachstelle erhebliche Auswirkungen auf die Sicherheit der gesamten Active Directory-Domäne haben kann. Die Schwachstelle kann dazu genutzt werden, Berechtigungen auf jedem mit der Windows-Domäne verbundenen Rechner zu eskalieren, selbst auf solchen, auf denen SolarWinds ARM nicht installiert ist. Der Forscher empfahl allen Benutzern von SolarWinds ARM, das ARM 2024.3-Update so bald wie möglich zu testen und bereitzustellen, um die Schwachstellen zu beheben. Der Forscher stellte außerdem eine Demo des Exploits bereit und forderte die Benutzer auf, ihm in den sozialen Medien zu folgen, um die neuesten Informationen zu Exploits-Techniken und Sicherheitspatches zu erhalten.

Im Dezember 2024 veröffentlichten Microsoft und Adobe ihre letzten Patches des Jahres, wobei Adobe 167 CVEs in verschiedenen Produkten behob und Microsoft 72 CVEs behob. Adobes Patches enthalten Fehlerbehebungen für kritische Code-Ausführungs-Bugs in Experience Manager, Acrobat und Reader sowie Media Encoder und anderen. Microsofts Patches beheben Sicherheitslücken in Windows, Office, SharePoint Server, Hyper-V, Defender for Endpoint und System Center Operations Manager. Ein bemerkenswerter Bug in Microsofts Veröffentlichung ist CVE-2024-49138, eine Erhöhung der Privilegien-Schwachstelle im Windows-Common-Log-File-System-Treiber, die öffentlich bekannt und aktuell angegriffen wird. Ein weiterer kritischer Bug ist CVE-2024-49112, der es entfernten, nicht authentifizierten Angreifern ermöglicht, betroffene Domänen-Controller durch Senden einer speziell gestalteten Gruppe von LDAP-Aufrufen auszunutzen.

Der WolfBox E40 ist eine Level-2-Ladestation für Elektrofahrzeuge, die für den privaten Gebrauch konzipiert wurde. Die Station verfügt über eine minimale Benutzeroberfläche und einen NFC-Leser für die Benutzerauthentifizierung. Die Installation und der Betrieb der Station werden über eine mobile Anwendung durchgeführt. Die Firmware für den GigaDevice-MCU und das Kommunikationsmodul wurde extrahiert und zeigt die Verwendung von uC/OS II und mBedTLS in Version 2.16.4. Die Firmware des Kommunikationsmoduls scheint in partitionierte, verschlüsselte Abschnitte aufgeteilt zu sein. Die Station bietet ein einziges Bluetooth-LE-Dienst mit drei Charakteristiken und verbindet sich mit verschiedenen AWS-IP-Adressen für Updates und Kommunikation. Die Station hält TCP-Port 6668 für lokale Wi-Fi-Verbindungen geöffnet und verwendet ein Tuya-spezifisches Protokoll für verschlüsselte lokale Kommunikation. Die Angriffsflächen der Station umfassen die mobile Anwendung, die Bluetooth-LE-Schnittstelle und den Netzwerkverkehr.

Das Kenwood DMX958XR ist eine Infotainment-Headunit (IVI) für Fahrzeuge, die verschiedene Technologien wie USB, Bluetooth, Android Auto, Apple CarPlay und Kenwood-Apps unterstützt. Dieser Blogbeitrag soll die Angriffsoberfläche des DMX958XR aufzeigen, um die Erforschung von Schwachstellen zu fördern. Der USB-C-Anschluss der Headunit unterstützt kabelgebundenes Android Auto und Apple CarPlay und ermöglicht auch die Wiedergabe von Audio- und Videodateien von einem USB-Flashlaufwerk. Bluetooth-Version 5 wird zum Tätigen und Empfangen von Anrufen und zum Abspielen von Audio von einem gekoppelten Mobiltelefon unterstützt. Die Headunit verwendet verschiedene Open-Source-Software, darunter OpenSSL, Cairo und Gstreamer. Die Kenwood Portal-App ermöglicht es Benutzern, Fotos von ihrem Mobiltelefon über Bluetooth auf die Headunit zu übertragen, was eine interessante Angriffsoberfläche darstellen könnte. Die Kenwood Remote S-App stellt über Bluetooth eine Verbindung zur Headunit her und ermöglicht die Steuerung von Multimedia. Die Firmware des DMX958XR wird in einem zukünftigen Blogbeitrag behandelt. Der nächste Beitrag in der Reihe beschreibt die Firmware des DMX958XR.

Das Kenwood DMX958XR ist eine kompakte Infotainment-Zentraleinheit (IVI) für Fahrzeuge, die verschiedene Funktionen wie Android Auto, Apple CarPlay und USB-Mediawiedergabe bietet. Sie besteht aus mehreren miteinander verbundenen Platinen, wobei die interessantesten Komponenten auf der Ober- und Unterseite der Hauptplatine untergebracht sind. Die Hauptplatine enthält auf der Oberseite einen Video-Verarbeitungs-IC, PMIC, NAND-Flash und zwei DDR3-SDRAMs und auf der Unterseite ein Murata-Radio-Modul, den Telechips-TCC8974-SoC, SDRAM und eMMC. Der Telechips-TCC8974-SoC ist ein 32-Bit-ARM-Kern, der das Ausführen von Android, Linux und QNX unterstützt und über Multimedia-Hardware-Beschleunigungsfähigkeiten verfügt. Andere Platinen in der Einheit dienen Zwecken wie GPS, Audioverarbeitung und Kameraoperationen. Eine versteckte Debugging-Schnittstelle auf der Hauptplatine bietet einen Linux-Login-Prompt über UART bei 115200bps, wodurch mit den richtigen Anmeldeinformationen eine Root-Shell gestartet werden kann. Das DMX958XR ist eines der Ziele für den kommenden Pwn2Own-Automotive-Wettbewerb, der die Sicherheit von IVI-Systemen testen soll. Der Wettbewerb findet im Januar 2025 auf der Automotive World-Konferenz in Tokio statt.

Adobe und Microsoft haben ihre regelmäßigen Updates für November 2024 veröffentlicht. Adobe veröffentlichte acht Patches, um 48 CVEs in verschiedenen Produkten zu beheben, darunter Adobe Bridge, Audition, After Effects und Photoshop. Die größte Behebung betrifft Substance 3D Painter mit 22 kritischen und wichtigen CVEs. Keines der von Adobe dieses Monat behobenen Bugs ist zum Zeitpunkt der Veröffentlichung als öffentlich bekannt oder aktiv angegriffen gelistet. Microsoft veröffentlichte 89 neue CVEs in Windows und Windows-Komponenten, Office und Office-Komponenten, Azure und anderen Produkten. Vier der Patches sind als kritisch, 84 als wichtig und einer als moderat eingeschätzt. Microsoft listet drei dieser CVEs als öffentlich bekannt, es wird jedoch berichtet, dass tatsächlich fünf öffentlich bekannt sind. Zwei CVEs sind zum Zeitpunkt der Veröffentlichung im Wilden aktiv. Die CVEs, die im Wilden aktiv sind, umfassen eine NTLM-Hash-Disclosure-Spoofing-Schwachstelle und eine Windows Task Scheduler-Elevation-of-Privilege-Schwachstelle. Andere bemerkenswerte CVEs sind eine Windows-Kerberos-Fernausführung-Schwachstelle, die es einem entfernten, nicht authentifizierten Angreifer ermöglicht, Code auf einem betroffenen System auszuführen, und eine .NET- und Visual-Studio-Fernausführung-Schwachstelle, die es Angreifern ermöglicht, Code durch Senden einer speziell gestalteten Anfrage an eine betroffene .NET-Webanwendung auszuführen. Microsoft veröffentlichte auch Patches für verschiedene andere Produkte, darunter Azure, SQL Server und Visual Studio. Das Unternehmen hat insgesamt 949 CVEs bislang im Jahr 2024 behoben, was 2024 zu ihrem zweitgrößten Jahr für Behebungen macht. Benutzer werden dringend empfohlen, die Updates so schnell wie möglich zu testen und zu deployen, um sich vor möglichen Angriffen zu schützen.

Forscher entdeckten mehrere Sicherheitslücken im Mazda Connect Connectivity Master Unit (CMU)-System, das Modelle wie den Mazda 3 von 2014 bis 2021 betrifft. Diese Sicherheitslücken werden durch unzureichende Sanitierung bei der Verarbeitung von Benutzereingaben verursacht. Ein Angreifer kann diese Sicherheitslücken ausnutzen, indem er ein speziell präpariertes USB-Gerät, wie z.B. einen iPod, mit dem Ziel-System verbindet. Die Sicherheitslücken umfassen SQL-Injektion, Befehlsinjektion und fehlendes Vertrauenswurzel in der Hardware.

Der letzte Tag von Pwn2Own Irland ist abgeschlossen, insgesamt wurden 993.625 US-Dollar vergeben, und es ist wahrscheinlich, dass die Marke von 1.000.000 US-Dollar überschritten wird. Team Smoking Barrels hat erfolgreich die True NAS X mit zwei bereits bekannten Fehlern ausgenutzt und dafür 20.000 US-Dollar und 2 Master-of-Pwn-Punkte erhalten. Team Cluck, bestehend aus Chris Anastasio und Fabius Watson, hat sechs Fehler genutzt, um die QNAP QHora-322 und die Lexmark CX331adwe auszunutzen, aber einer der Fehler war bereits bekannt, was zu einer Auszeichnung von 23.000 US-Dollar und 9,25 Master-of-Pwn-Punkten führte. Der Bug-Zusammenstoß hat die Gesamtvergütung über die Marke von 1.000.000 US-Dollar hinausgetrieben.

Der Wettbewerb Pwn2Own Ireland hat bereits 874.875 US-Dollar ausgeschüttet und hat 15 Versuche übrig, mit der Möglichkeit, die Marke von 1.000.000 US-Dollar zu erreichen. Ha The Long und Ha Anh Hoang konnten erfolgreich die QNAP TS-464 NAS mit einem einzigen Befehlsinjektionsfehler ausnutzen und verdienten 10.000 US-Dollar und 4 Master of Pwn Punkte. Pumpkin Chang und Orange Tsai vom DEVCORE Research Team erreichten ebenfalls Erfolg, indem sie die Synology BeeStation mit einer Kombination von Fehlern ausnutzten und 20.000 US-Dollar und 4 Master of Pwn Punkte verdienten. Währenddessen konnten Sina Kheirkhah und Enrique Castillo vom Summoning Team die Ubiquiti AI Bullet innerhalb der vorgegebenen Zeit nicht ausnutzen.

Pwn2Own Irland 2024 ist in vollem Gange, mit über 516.250 US-Dollar, die gestern für 50 einzigartige 0-Day-Schwachstellen vergeben wurden. Heute wird der Wettbewerb mit Versuchen auf verschiedenen Geräten fortgesetzt, darunter Handys, Kameras, Drucker und intelligente Lautsprecher. Echtzeit-Updates werden bereitgestellt, sobald Ergebnisse verfügbar sind. Pham Tuan Son und ExLuck von ANHTUD haben erfolgreich einen Canon imageCLASS MF656Cdw-Drucker mittels eines Stapelüberlauf-Angriffs ausgenutzt und verdienen damit 10.000 US-Dollar und 2 Master-of-Pwn-Punkte. Ken Gannon von NCC Group hat erfolgreich ein Samsung Galaxy S24 ausgenutzt, indem er fünf Schwachstellen, einschließlich eines Pfad-Durchlaufs, ausnutzte, und verdiente damit 50.000 US-Dollar und 5 Master-of-Pwn-Punkte. Dungdm von Viettel Cyber Security hat erfolgreich die Sonos Era 300 mittels eines Use-After-Free-Bugs ausgenutzt und verdiente damit 30.000 US-Dollar und 6 Master-of-Pwn-Punkte. Der Wettbewerb läuft weiter, mit weiteren Versuchen, die im Laufe des Tages geplant sind.

Pwn2Own Irland 2024 hat begonnen und bietet vier Tage Forschung und mehrere Versuche, SOHO-Geräte auszunutzen. Am ersten Tag gab es einen erfolgreichen Versuch von phudq und namnp von Viettel Cyber Security, die die Lorex 2K WiFi-Kamera mithilfe eines stack-basierten Buffer-Overflows und einer unvertrauenswürdigen Pointer-Dereferenzierung ausnutzten und damit 30.000 US-Dollar und 3 Master of Pwn-Punkte verdienten. Im Gegensatz dazu war der Versuch von Can Acar, die Synology TC500-Kamera auszunutzen, aufgrund von Zeitbeschränkungen erfolglos. Die Veranstaltung wird mit einem vollen Zeitplan von Versuchen fortgesetzt, wobei Updates in Echtzeit bereitgestellt werden.

Pwn2Own Irland 2024 soll eines der größten Ereignisse aller Zeiten werden, mit über 1.000.000 US-Dollar an potenziellen Preisen. Der Wettbewerb begann mit einer zufälligen Auslosung, um die Reihenfolge der Versuche zu bestimmen. Der erste Tag umfasst verschiedene Teams, die unterschiedliche Geräte wie intelligente Lautsprecher, Drucker und Überwachungssysteme anvisieren. Der zweite Tag wird Teams sehen, die Netzwerkspeicher und Drucker anvisieren. Der dritte Tag wird sich auf Überwachung und Netzwerkspeicher konzentrieren. Der vierte Tag wird den Wettbewerb mit Teams abschließen, die Netzwerkspeicher und Drucker anvisieren. Die Ergebnisse werden live auf dem Blog veröffentlicht, während der Wettbewerb stattfindet, und Video-Highlights werden auf sozialen Medienplattformen gepostet.