08.05.2025

CSO Online 07.05.2025 20:59

A fix introduced into Windows last month to close a weakness in Kerberos authentication is causing logon failures for some Windows Hello for Business (WHfB) users, Microsoft has warned.

In theory, the monthly Windows patching cycle is about fixing vulnerabilities, of which CVE-2025-26647, the flaw addressed by the buggy fix, was serious enough to warrant immediate attention.

But Windows environments are varied, and exceptions arise, especially in relation to the complex subject of authentication. In some cases, the fix for a vulnerability can cause new problems that Microsoft only detects when customers shout about them.

The latter seems to have been the case with the latest issue, which affects all versions of Windows Server going back to Windows Server 2016 that were patched by the April 8, 2025 Windows security update (KB5055523).

“Active Directory Domain Controllers (DC) might experience issues when processing Kerberos logons or delegations using certificate-based credentials that rely on key trust via the Active Directory msds-KeyCredentialLink field,” said Microsoft.

“This can result in authentication issues in Windows Hello for Business (WHfB) Key Trust environments or environments that have deployed Device Public Key Authentication (also known as Machine PKINIT),” the alert added.

Home users won’t experience this issue, as DCs are only employed for authentication in business or enterprise environments, including their VPNs.

What this means

The issue the buggy patch was meant to address was an inconsistency in the way Windows was storing Kerberos certificates.

The patched version should only have trusted certificates stored in the Windows NTAuth store used specifically for security-critical certificates such as Windows Hello for Business biometrics, smart cards, or PKINIT used by machines or devices that don’t use conventional passwords.

Unfortunately, it still allowed authentication for privileged accounts in a separate space called the root store, normally used for more general authentication such as websites.

That was a bad idea, so the April update enforced use of certificates in the NTAuth store by Windows DCs.

However, this caused some WHfB or machine PKINIT logons still connected to the original root store either to fail or to generate excessive log traffic.

“It’s possible other products which rely on this feature are also affected, including smart card authenticati

Infosecurity Magazine 07.05.2025 17:45
Inferno Drainer returns, stealing millions from crypto wallets through phishing on Discord

The Hacker News 07.05.2025 15:54
Europol has announced the takedown of distributed denial of service (DDoS)-for-hire services that were used to launch thousands of cyber-attacks across the world.
In connection with the operation, Polish authorities have arrested four individuals and the United States has seized nine domains that are associated with the now-defunct platforms.
"The suspects are believed to be behind six separate

CSO Online 07.05.2025 14:20

Cyberkriminelle haben die IT-Systeme der Brauerei Oettinger verschlüsselt. Die Produktion ist nicht betroffen.defotoberg – shutterstock.com

In Darknet ist kürzlich ein Post der Cyberbande Ransomhouse aufgetaucht, in dem es um einen Cyberangriff auf die deutsche Brauerei Oettinger geht. Demnach ist es den Hackern gelungen, am 19. April 2025 in die IT-Systeme des Unternehmens einzudringen und Daten zu verschlüsseln. Um welche Daten es sich dabei genau handelt, ist bisher unklar.

Laut einem Bericht von heise online gibt es jedoch eine Verzeichnisstruktur und Dokumente, die die Täter im Darknet hochgeladen haben. Darunter sollen sich auch sensible Informationen, wie Abmahnungen für Mitarbeiter befinden. Dem Bericht zufolge weisen auch einige Verzeichnisse etwa auf Daten aus den Bereichen Versand und Logistik hin sowie auf einzelne Unternehmensstandorte, den Fuhrpark, die Lagerverwaltung und Qualitätsmanagement-Systeme.

Ermittlungen noch nicht abgeschlossen

Die Großbrauerei hat den Angriff inzwischen gegenüber CSO bestätigt: „Wir untersuchen den Vorfall derzeit gemeinsam mit IT-Forensikern, der Datenschutzbehörde und Fachleuten für Cyberkriminalität. Ebenso das Thema Datenabfluss.”

Weitere Details zu der Cyberattacke werden nicht genannt. Alle Liebhaber des günstigen Bieres können jedoch aufatmen: Die Produktion und Logistik sind nach Aussagen von Oettinger nicht davon betroffen. “Wir produzieren weiterhin in Oettingen, Mönchengladbach und Braunschweig, liefern Getränke aus und können Kundenanforderungen gerecht werden.”

Lesetipp: Diese Unternehmen hat es schon erwischt

Golem 07.05.2025 14:05
Mindestens zwei Cyberbanden haben sich einer Schwachstelle im CLFS-Treiber von Windows bedient, bevor Microsoft einen Patch ausliefern konnte. (Cybercrime, Windows)

Heise Security 07.05.2025 13:42
Die Entwickler von LibreOffice raten vom Konkurrenten OpenOffice ab. Die Apache-Software enthalte Sicherheitslücken und werde nicht weiterentwickelt.

Infosecurity Magazine 07.05.2025 13:30
The UK government has announced that it will be replace its current SMS verification system with passkeys by the end of 2025

CSO Online 07.05.2025 11:00

KPIs and metrics are indispensable for evaluating the effectiveness of enterprise cyber defenses. These crucial tools open insights into system vulnerabilities, threat patterns, and incident response efficiency. In a time of growing digital reliance, KPIs and metrics play an vital role in security decision-making, ensuring enterprise preparedness against ever-evolving cyber threats.

Regrettably, when it comes to deploying cybersecurity KPIs and metrics, it’s easy to get bogged down in a seemingly endless number of popular insights and indicators. Fortunately, just a handful stand out from the pack as essential for any cybersecurity strategy. Here are some of the best.

1. Mean time to detect

Mean time to detect (MTD) is a crucial metric that reflects an organization’s ability to quickly identify and address potential incidents, ultimately minimizing potential damage, says Mehdi Houdaigui, US cyber and transformation leader with enterprise consulting firm Deloitte.

A lower MTD indicates that your security organization quickly detects potential threats, reducing the window of opportunity for attackers to harm the organization, Houdaigui says. And with attack time frames shrinking rapidly, keeping MTD low will only become more important.

Still, Houdaigui says, MTD is only one of many metrics organizations will find useful. “It’s important for organizations to focus on what matters most and is strategic to their business,” he says.

2. Cyber resilience

Cyber resilience is the real measure of whether your security program is doing its job, says John Wheeler, CSO with professional services firm Cognizant.

“In the end it’s not about how many threats you block — which certainly matters — it’s about how quickly and effectively you’re able to recover when something gets through, which it eventually will,” he observes. “Resilience means your business keeps running, your customers stay confident, and a bad day doesn’t become a crisis.”

No system is entirely bulletproof. “Even the best defenses can be breached,” Wheeler says. What separates successful organizations from those spiraling downward is how quickly they respond and bounce back. “If you can recover in hours, it’s a headache. If it takes weeks, it’s a disaster,” he notes. “Resilience is the difference between a temporary issue and lasting damage — to your business, your reputation, and your customer trust.”

3. Ne

Heise Security 07.05.2025 10:12
Zum Wochenende wurden Angriffe auf eine weitere Commvault-Sicherheitslücke bekannt. Das Update zum Abdichten wirkt wohl nicht.

The Hacker News 07.05.2025 9:37
Cybersecurity researchers have discovered a malicious package on the Python Package Index (PyPI) repository that masquerades as a seemingly harmless Discord-related utility but incorporates a remote access trojan.
The package in question is discordpydebug, which was uploaded to PyPI on March 21, 2022. It has been downloaded 11,574 times and continues to be available on the open-source registry.

Heise Security 07.05.2025 9:00
Chaos um CVEs, Rache gegen Ex-CISA-Chef, Backdoor in Fortinet-Geräten – es gibt viel zu erzählen. Auch in dieser Folge hadern die Hosts mit der Securitybranche.

The Hacker News 06.05.2025 15:36
Cybersecurity researchers have lifted the lid on two threat actors that orchestrate investment scams through spoofed celebrity endorsements and conceal their activity through traffic distribution systems (TDSes).
The activity clusters have been codenamed Reckless Rabbit and Ruthless Rabbit by DNS threat intelligence firm Infoblox.
The attacks have been observed to lure victims with bogus

CSO Online 06.05.2025 14:35

Die IT-Systeme der Stadt Ellwangen wurden teilweise durch eine Cyberattacke lahmgelegt. Stadt Ellwangen

Die Stadt Ellwangen teilte kürzlich mit, dass sie Ziel eines Cyberangriffs wurde. Nach eigenen Angaben entdeckte die Verwaltung bereits am 24. April 2025 erste „Unregelmäßigkeiten in den IT-Systemen“. Daraufhin seien unmittelbar umfassende Sicherheitsmaßnahmen eingeleitet worden, heißt es in einer offiziellen Mitteilung.

Ausmaß des Angriffs

So habe die Stadt aus Sicherheitsgründen alle auffälligen Systeme sofort abgeschaltet, um sie forensisch zu untersuchen, heißt es weiter. Laut einem Bericht des Südwestrundfunk SWR sind vor allem die Programme der städtischen Schulen davon betroffen. Es sei möglich, dass die Hacker über eine der Schulen in das IT-System der Stadt eingedrungen seien und von dort aus die anderen kompromittiert hätten, erklärte ein Sprecher gegenüber dem regionalen Rundfunk.

Dem Bericht zufolge hat die Cyberattacke alle städtischen Schulen getroffen – bis auf eine. Diese Schule setze eine andere Software ein. Der Unterricht könne jedoch weiterhin in allen Bildungseinrichtungen stattfinden.

Nach Informationen der Stadt laufen die meisten Systeme ungestört und werden durchgehend überwacht. Die Kommunikation per E-Mail und Telefon würde ebenfalls weiterhin funktionieren.

Wie der SWR berichtet, hat die Stadtverwaltung nach dem Angriff sofort ihre Cyberversicherung informiert. Deren IT-Experten hätten sich umgehend um den Fall gekümmert. Allerdings sei noch unklar, wie lange die Systemstörung anhält.

Keine sensiblen Daten betroffen

Laut Aussagen der Stadtverwaltung gibt es derzeit keine Hinweise darauf, dass sensible Daten abgegriffen wurden. Es habe auch keine Forderungen oder Erpresserschreiben an die Stadt gegeben, heißt es im SWR-Bericht. „Der Krisenstab arbeitet mit höchster Priorität daran, den entstandenen Schaden zu begrenzen und die digitale Infrastruktur schnellstmöglich vollständig wiederherzustellen“, versichert die Stadt Ellwangen.

Lesetipp: Ransomware-Attacke auf AWO Gießen

Golem 06.05.2025 13:02
Ein Bericht aus den USA über den KI-Assistenten von Meta zeigt, wovor europäische Datenschutzbehörden warnen. (KI, Datenschutz)

Golem 06.05.2025 10:43
Eine Cyberbande namens Ransomhouse will IT-Systeme von Oettinger verschlüsselt haben. Das Bier fließt aber wohl ungehindert weiter. (Cybercrime, Verschlüsselung)

Heise Security 06.05.2025 10:38
Bereits im vergangenen Jahr hat cURL-Entwickler Daniel Stenberg gegen KI-Bug-Reports gewettert. Nun hat der die Nase voll davon.

CSO Online 06.05.2025 2:45

CISOs should warn HR staff not to be fooled by a new spear phishing campaign that contains job applications that include updated malware, and take steps to identify and block an improved backdoor.

That warning came Monday from researchers at Arctic Wolf, who said a group some researchers know as Venom Spider, or TA4557, has been recently targeting corporate human resources departments and recruiters to spread malware through an enhanced version of its “More_eggs” backdoor.

The group uses legitimate messaging services and job platforms to apply for real jobs using fake malicious resumés that drop the backdoor, the report said. With backdoor access, the crooks can then steal credentials, customer payment data, intellectual property, or trade secrets.

The threat actor has made several upgrades to More_eggs to infect victims more effectively and to evade automated analysis techniques like sandboxing, Arctic Wolf said.

“The recruiters and hiring managers who work in HR departments are often considered to be the weak point in an organization by attackers, as the very nature of their job means that they must regularly open email attachments (such as resumés and cover letters) emailed to them from external and unknown sources, including job candidates and hiring agencies,” said the report.

Typically, a malicious message in this campaign contains a link, supposedly to allow the manager to download the job seeker’s resumé from an external site. If the manager clicks the link, they are taken to an actor-controlled website from which the recruiter can download a (decoy) resumé. On this site, the user must check a CAPTCHA box, a precaution that helps the site bypass automatic scanners.

If the victim successfully passes the CAPTCHA test, a zip file is downloaded to their device, which the recruiter is led to believe is the candidate’s resumé. Instead, the zip file contains a malicious Windows shortcut (.lnk) file as well as an image file. The .lnk file is the payload for the first stage of the attack chain, while the .jpg image file is just a distraction.

The threat actor’s infrastructure issuing the .lnk file supports server polymorphism, meaning a new malicious .lnk file will be generated which changes the code obfuscation and file size for each individual download .  

The .lnk file contains an obfuscated .bat script, which performs several actions when the .lnk file is opened. The scrip

Heise Security 05.05.2025 17:41
Mehrere Lücken betreffen PiCtory, eine Webapplikation zur Konfiguration der Mini-Industriesysteme. Kunbus hat Patches und eigene Warnmeldungen veröffentlicht.

CSO Online 05.05.2025 15:23

Cyberkriminelle haben die Server der AWO Gießen verschlüsselt.Elena Uve – Shutterstock.com

Nach eigenen Angaben stellte die AWO Gießen am 27. April 2025 fest, dass Cyberkriminelle in die IT-Systeme eingedrungen sind und Dateien verschlüsselt haben. „Dank umfassender Sicherheitsmaßnahmen und funktionierender Backups konnte die Versorgung der Bewohner und Kunden jederzeit aufrechterhalten werden. Der Betrieb in den Pflegeheimen, Kitas und anderen Einrichtungen lief ab Montag reibungslos weiter“, heißt es in einer offiziellen Mitteilung.

Trotzdem könne nicht ausgeschlossen werden, dass im System hinterlegte personenbezogene Daten vom Cyberangriff betroffen sind, räumt die Wohlfahrt ein. Um die Organisation zu erpressen, hätten die Angreifer eine Lösegeldforderung gestellt. Über die Höhe der geforderten Summe ist allerdings nichts bekannt. Geschäftsführer Nils Neidhart betonte jedoch, dass man auf keinen Fall mit den Tätern kooperieren werde.

Die Polizei, das Landeskriminalamt Hessen sowie die Landesdatenschutzbehörde seien umgehend über den Vorfall informiert worden, versichert die AWO. Die Ermittlungen und der Wiederaufbau der Systeme sind noch nicht abgeschlossen.

Wer steckt hinter dem Angriff?

Wie Markus Weber, externer Leiter des Krisenstabs gegenüber CSO erklärte, ist die Safepay-Bande für den Angriff verantwortlich. Der Krisenmanager geht aber nicht davon aus, dass es die Hacker explizit auf die AWO Gießen abgesehen hatten. Die Ransomware-Gruppe sei nicht bekannt für gezielte Attacken.

In den vergangenen Monaten tauchten zahlreiche Unternehmen aus Deutschland auf der Opferliste von Safepay auf. Laut einer Analyse von Check Point Research gehen 24 Prozent aller hierzulande gemeldeten Vorfälle auf das Konto der Hackerbande zurück.

Lesetipp: Hackerangriff auf AWO Münsterland-Recklinghausen 

Golem 05.05.2025 11:00
Der Signal-Klon der US-Regierung weist offenbar Schwachstellen auf. Ein Angreifer will vertrauliche Daten vom Server des Anbieters erbeutet haben. (Datenleck, Instant Messenger)