+43 (1) 812 32 30-0 office@purple-tec.at
Microsoft: Sicherheitsupdate legt automatisch „inetpub“-Ordner an.

Microsoft: Sicherheitsupdate legt automatisch „inetpub“-Ordner an.

Nach dem April-Update 2025 berichten Windows-Nutzer von einem neu angelegten, leeren „inetpub“-Ordner auf ihren Systemen. Microsoft bestätigt, dass das beabsichtigt ist und der Ordner nicht gelöscht werden soll, da er für den Internet Information Services (ISS) Dienst verwendet wird. Zwar hat das Entfernen des Ordners nach der Installation keine direkten Folgen, vorheriges Löschen kann jedoch die Update-Installation stören.

Erwähnt wird dieser Vorgang in der Sicherheitslücke CVE-2025-21204 – hier schreibt Microsoft folgendes dazu:

„After installing the updates listed in the Security Updates table for your operating system, a new %systemdrive%\inetpub folder will be created on your device. This folder should not be deleted regardless of whether Internet Information Services (IIS) is active on the target device. This behavior is part of changes that increase protection and does not require any action from IT admins and end users.“

Also, dass der inetpub Ordner erstellt wird und nicht gelöscht werden soll, auch wenn der IIS-Dienst nicht verwendet wird. Dieses Verhalten ist beabsichtigt und es erfordert keine Maßnahmen von IT Admins oder Endbenutzern.

 

Die regelmäßigen Windows-Updates sind zweifellos essenziell und stellen das absolute Minimum für den Schutz moderner IT-Systeme dar. Aus unserer Sicht reicht das jedoch nicht aus, um sich gegen aktuelle Bedrohungen wie Ransomware, Phishing oder Zero-Day-Angriffen zu verteidigen.

Wir empfehlen daher zusätzlich den Einsatz einer umfassenden Sicherheitslösung wie Bitdefender, die mit Echtzeit-Schutz, Verhaltensanalyse und Netzwerkabwehr eine deutlich höhere Sicherheitsebene schafft.

Wenn du mehr Informationen zu Bitdefender möchtest oder gleich eine persönliche Beratung, welche Dienste für dich in Frage kommen, dann kannst du uns gerne direkt kontaktieren. smile

Dein Team von Purple-Tec

Gelöst: Backdoor auf FortiGate Firewalls

Gelöst: Backdoor auf FortiGate Firewalls

Wie schon in vielen anderen Posts erwähnt, wurden bei FortiGate-Firewalls derzeit mehrere ungepatchte Schwachstellen ausgenutzt, um sich Zugriff auf die Geräte zu verschaffen – darunter:

  • CVE-2022-42475 (CVSS 9.3)
  • CVE-2023-27997 (CVSS 9.2)
  • CVE-2024-21762 (CVSS 9.6)

Obwohl die Sicherheitslücke schon gepatcht wurde, gibt es leider einen Unterschied von einer herkömmlichen Attacke:

Der Angreifer hat sich über sogenannte Symlinks eine Read-Only-Backdoor im Dateisystem eingerichtet, die auch nach dem Patch erhalten geblieben ist.

 

FortiGate hat natürlich sofort reagiert und neue Version herausgebracht:

FortiOS 7.6.2, 7.4.7, 7.2.11 & 7.0.17, 6.4.16: Durch das Upgrade auf diese Version wird der böswillige symbolische Link entfernt, sofern er besteht.

 

Bei unseren Wartungskunden haben wir die neue Version natürlich schon gestern in der Nacht eingespielt! Jetzt sind wir dabei, auch Kunden ohne Wartungsvertrag auf den neusten Stand zu bringen, hier ist der Abstimmungsprozess und der Kommunikationsweg verständlicherweise ein bisschen länger.

Wenn du Fragen hast oder Hilfe brauchst, um sicherzustellen, dass deine FortiGate geschützt ist, kannst du uns gerne kontaktieren. smile

Dein Team von Purple-Tec

Es wird wieder gerockt – diesmal mit Bitdefender und Hornetsecurity!

Es wird wieder gerockt – diesmal mit Bitdefender und Hornetsecurity!

Wir haben ein tolles Event für euch geplant – viele Inputs von Bitdefender bezüglich Neuheiten, der Strategie für die nächsten Monate, und eine technische Session ist auch wieder mit dabei.

Als Goldpartner von Bitdefender ist es für uns ein Muss, euch – und auch uns selbst – immer wieder upzudaten und die Möglichkeit zu eröffnen, die Kollegen von Bitdefender auch mal persönlich kennenzulernen und Fragen zu stellen. smile

Diesmal ist auch Hornetsecurity mit am Start – der Awareness Service ist ein tolles Produkt und muss auf jeden Fall vorgestellt werden. Auch wir haben ihn bereits im Einsatz, also seid gespannt. wink

Wie lässt sich das alles nun am besten kombinieren? Natürlich mit einem leckeren Frühstücksbuffet im Hard Rock Cafe Wien! Das Ambiente lädt ebenfalls zum netten Plaudern ein, und wir haben auch genug Pausen eingeplant, um gute Gespräche führen zu können.

Zum Schluss werden drei Rocketbooks verlost, und es gibt ein Goodie-Sackerl als „Dankeschön fürs Kommen“ für jeden Teilnehmer.

Wenn du es dir einrichten kannst, sei dabei – es zahlt sich auf jeden Fall aus, und frühstücken musst du ja sowieso. tongue-out

 

Euer Team von Purple-Tec

BEHOBEN: Sicherheitslücke in der Bitdefender GravityZone Konsole

BEHOBEN: Sicherheitslücke in der Bitdefender GravityZone Konsole

Am 04.04. wurde eine Sicherheitslücke in der Bitdefender GravityZone Konsole entdeckt. Die gute Nachricht: Das Problem wurde bereits durch ein automatisches Update auf die neuste Version behoben.

 

Was war das Problem?

Die Schwachstelle (CVE-2025-2244) betraf die Methode sendMailFromRemoteSource in der Datei Emails.php innerhalb der GravityZone Konsole. Hier wurde die PHP-Funktion unserialize() unsicher auf Benutzereingaben angewendet. Im schlimmsten Fall hätte dies einem Angreifer ermöglichen können, Schadcode auf dem System auszuführen – etwa durch Datei-Schreibzugriffe oder Remote Code Execution.

 

Wichtig: Die Lücke ist bereits geschlossen!

Bitdefender hat schnell reagiert: Mit der Version 6.41.2-1 wurde die Schwachstelle behoben. Systeme, die automatisch aktualisiert werden, wie die GravityZone Cloud Konsole, sind also bereits geschützt.

 

Was muss jetzt getan werden?

Alle mit einer lokalen Konsole sollten sofort prüfen, ob das automatische Update auf Version 6.41.2-1 bereits durchgeführt wurde. Falls nicht, empfehlen wir dringend, das Update manuell anzustoßen, um potenzielle Risiken auszuschließen.

 

Falls du unsicher bist, ob du betroffen bist oder Hilfe beim Update benötigst: Melde dich bei uns. Wir helfen dir gerne weiter. wink

Dein Team von Purple-Tec

 

Rekordmonat für Ransomware: Noch nie so viele Angriffe wie im Februar

Rekordmonat für Ransomware: Noch nie so viele Angriffe wie im Februar

Rekordmonat: Februar 2025 – Der schlimmste Monat in der Ransomware-Geschichte

Eine Untersuchung von Bitdefender hat ergeben, dass im Februar 2025 insgesamt 962 Opfer von Ransomware-Angriffen betroffen waren – ein Anstieg von 126 % im Vergleich zum Vorjahr. Besonders alarmierend ist der Anstieg der Clop-Gruppe, die allein 335 Opfer für sich beansprucht haben – ein Anstieg von 300 % im Vergleich zum Vormonat.

Hinter dieser Entwicklung steckt eine gefährliche Strategie: Cyberkriminelle setzen verstärkt auf die Ausnutzung neu entdeckter Software-Schwachstellen. Diese Angriffe erfolgen in zwei Phasen: Zunächst verschaffen sich Angreifer Zugang über die Schwachstelle, dann nutzen sie „Living Off the Land“ Techniken, damit sie unerkannt die Systeme tiefer infiltrieren können. Die eigentlichen Attacken können deswegen erst Wochen oder Monate nach der ersten Kompromittierung stattfinden.

Schutzmaßnahmen gegen moderne Ransomware-Angriffe

Um sich gegen diese Bedrohung zu wappnen, sollten Unternehmen folgende Maßnahmen priorisieren:

  • Smartes Patching: Sicherheitslücken schnell schließen, besonders wenn sie aktiv ausgenutzt werden.
  • Proaktive Bedrohungssuche: Frühzeitige Erkennung von versteckten Backdoors von Angreifern im Netzwerk.
  • EDR/XDR mit SOC/MDR: Erweiterte Erkennungs- und Reaktionsmechanismen einsetzen, um zu verhindern, dass Angreifer zu sensiblen Daten kommen.

Die aktivsten Ransomware Groups

Im Februar waren die drei Hackergruppen mit den meisten Opfern folgende:

  1. Clop – 335 Opfer
  2. RansomHub – 102 Opfer
  3. Akira – 77 Opfer

Die verschlüsselten Firmen haben ihren Sitz hauptsächlich in den USA, Kanada und der UK.

 

Wenn du noch mehr Tipps oder Infos zu Living Off the Land Attacken haben willst, kannst du gerne Kontakt mit uns aufnehmen. laughing

Dein Team von Purple-Tec

    Ubiquiti Training - Alle Module vom 20.01.2025 bis 23.01.2025

    Fülle bitte das Kontaktformular aus und wir setzen uns gerne mit dir in Verbindung:

    Ich bin kein Roboter. Gib den Text ein:

    captcha

      Ubiquiti UNP Training am 20.01.2025

      Fülle bitte das Kontaktformular aus und wir setzen uns gerne mit dir in Verbindung:

      Ich bin kein Roboter. Gib den Text ein:

      captcha

        Ubiquiti UFSP & URSCA Training am 20.01.2025 & 22/23.01.2025

        Fülle bitte das Kontaktformular aus und wir setzen uns gerne mit dir in Verbindung:

        Ich bin kein Roboter. Gib den Text ein:

        captcha

          Ubiquiti UFSP & UWA Training am 20.01.2025 - 21.01.2025

          Fülle bitte das Kontaktformular aus und wir setzen uns gerne mit dir in Verbindung:

          Ich bin kein Roboter. Gib den Text ein:

          captcha

            Ubiquiti UFSP Training am 20.01.2025

            Fülle bitte das Kontaktformular aus und wir setzen uns gerne mit dir in Verbindung:

            Ich bin kein Roboter. Gib den Text ein:

            captcha

            1