DARUM GEHTS…

Hey, lange war es ruhig um IPv5, man könnte es neudeutsch als Midlife-Crisis bezeichnen. Nun geht es aber fast wie gewohnt weiter, nur etwas Security-„lastiger“. Aber macht euch selbst ein Bild. 🙂

Diese Woche schauen wir uns an, warum deine Daten bei Instagram nicht mehr sicher sind, wie Angreifer KI-Suchergebnisse ausnutzen, um einen Fake-Fortinet-Client herunterzuladen, und warum KI-Kühlschränke quatsch sind. Zum Abschluss tauchen wir im Deep Dive in die Welt der vergessenen Angriffsvektoren ein: UEFI, BMC & Firmware.

Los geht’s…

Data-Scraping mit über 6,5 Millionen Betroffenen
👤 Instagram Dateneck

Instagram-Datenleck: Daten von 6,2 Millionen Konten bei Have-I-Been-Pwned | heise online

“Bösartige Akteure haben mittels Scraping durch Instagram-Zugriffsschnittstellen (APIs) Daten von 6,2 Millionen Nutzerinnen und Nutzern des Dienstes abgegriffen und in einem Untergrundforum angeboten. Nun sind sie in der Datenbank des Have-I-Been-Pwned-Projekts (HIBP) gelandet und lassen sich dort auffinden. Zudem sind rund 672.000 Datensätze von Nutzern des Untergrundforums BreachForums dort gelandet.”

— Heise

Unterstützt durch Googles KI-Suche
🌎 Fortinet-VPN-Phishing

Fake Fortinet Sites Steal VPN Credentials in Sophisticated Phishing Attack

“Eine neue und raffinierte Phishing-Kampagne zielt auf Remote-Mitarbeiter und IT-Administratoren ab, indem sie sich als offizielles Fortinet VPN-Download-Portal ausgibt.

Dieser Angriff ist besonders gefährlich, da er Suchmaschinenoptimierung (SEO) und, alarmierenderweise, KI-generierte Suchzusammenfassungen nutzt, um Opfer in eine Falle zu locken.

Die Kampagne nutzt einen mehrstufigen Umleitungsmechanismus, der mit vertrauenswürdigen Domains beginnt, um die ersten Sicherheitsfilter zu umgehen, und schließlich VPN-Anmeldedaten stiehlt und Malware verbreitet.

Der Sicherheitsforscher "G0njxa" hat beobachtet, dass moderne Suchmaschinen, die mittlerweile KI-generierte „Antowrten” oder Zusammenfassungen anbieten, diese Kampagne unbeabsichtigt fördern.

Wenn Nutzer nach „Wie lade ich Fortinet VPN herunter” suchen, greifen einige KI-Zusammenfassungen auf Inhalte aus dem bösartigen GitHub-Repository des Angreifers (vpn-fortinet[.]github[.]io) zurück und präsentieren diese als legitime Schritt-für-Schritt-Anleitung.”

— Cyber Security News

Buzzword? Nervig? Genial?
🌎 Alles besser mit KI?

KI-Unsinn im Alltag: Welche Produkte ohne KI besser wären

“Hinter mancher künstlichen Intelligenz (KI) steckt echte menschliche Dummheit. Zumindest wird dieser Eindruck erweckt, wenn man sich einige der „smarten“ Geräte ansieht, die seit dem Beginn des KI-Booms auf den Markt gekommen sind. Während einige davon tatsächlich nützliche Funktionen bieten, scheinen andere eher das Resultat der Marketing-Abteilung zu sein, die wild mit KI-Buzzwords um sich wirft. In diesem Artikel stellen wir einige solcher Produkte vor.”

— Merkur

Deep Dive: Die vergessenen Angriffsvektoren: UEFI, BMC & Firmware

Das Problem mit "Neu aufsetzen"

Stell dir vor, das Incident-Response-Team findet Malware. Standard-Playbook: System neu aufsetzen, Festplatte formatieren, fertig. Drei Wochen später: Die gleiche Malware ist wieder da. Das Backup war sauber. Die Netzwerk-Forensik zeigt nichts. Was ist passiert?

UEFI-Rootkits

UEFI (Unified Extensible Firmware Interface) ist das moderne BIOS und verantwortlich für den Boot-Prozess. Es läuft vor dem Betriebssystem, hat höhere Privilegien als der Kernel und liegt im SPI Flash Memory auf dem Motherboard.

Dementsprechend überlebt ein UEFI-Rootkit:

  • OS-Neuinstallation

  • Festplattenaustausch

  • Die meisten EDR/AV-Lösungen

  • Memory Forensics

1. LoJax (2018)

APT28 (Fancy Bear) war die erste Gruppe, die ein UEFI-Rootkit im echten Einsatz nutzte. LoJax hijackte die legitime LoJack-Software und patched UEFI-Module.

Technische Details:

  • Drei spezialisierte Tools: Platform-Dump, Firmware-Reader, Firmware-Patcher

  • Nutzte RWEverything's RwDrv.sys für SPI-Flash-Zugriff

  • Fügte bösartige Module zur Firmware hinzu und schrieb sie zurück ins SPI Flash Memory

  • Zielte auf Regierungsorganisationen in Osteuropa

Das Perfide: Secure Boot schützte nicht, da LoJax das ursprüngliche signierte LoJack-Modul nicht veränderte – es fügte einfach ein weiteres hinzu.

2. MosaicRegressor (2020)

Kaspersky entdeckte dieses modulare Spionage-Framework, das auf dem geleakten Hacking-Team VectorEDK basierte. Ziele: NGOs und diplomatische Einrichtungen mit Nordkorea-Bezug.

Besonderheiten:

  • Multi-stage Framework mit Downloadern und Intermediate-Loadern

  • Payload wurde on-demand nachgeladen nur minimale Spuren

  • Exfiltration von Recent Documents, Archivierung und C2-Upload

Das Beunruhigende: Kaspersky konnte den genauen Infektionsvektor nicht bestimmen. Die Firmware war bereits kompromittiert.

3. MoonBounce (2022)

APT41 entwickelte den bisher sophistiziertesten UEFI-Rootkit.

Was MoonBounce anders macht:

  • Modifiziert bestehende UEFI-Komponenten auf Binärebene statt DXE-Driver hinzuzufügen

  • Arbeitet komplett in-memory. Keine Spuren auf der Festplatte

  • Hookt EFI Boot Services und injiziert Malware in svchost.exe

Der technische Geniestreich: Während LoJax und MosaicRegressor UEFI-Module hinzufügen (und damit detektierbar sind), verändert MoonBounce subtil das Verhalten existierender, legitimer Komponenten. Classic Secure Boot ist nutzlos, da es Firmware-Level-Komponenten nicht authentifiziert.

Warum so selten?

UEFI-Rootkits erfordern:

  1. Privilegierten Zugang zum System (meist bereits kompromittiert)

  2. Tiefes Verständnis der UEFI-Architektur

  3. Hardware-spezifisches Wissen (jedes Motherboard ist anders)

  4. Hohe operative Risiken Fehler können Bricking verursachen

Es ist hochgradig ungewöhnlich, kompromittierte UEFI-Firmware in freier Wildbahn zu sehen, meist wegen geringer Sichtbarkeit und fortgeschrittener Deployment-Methoden.

Was ist ein BMC?

Der Baseboard-Management-Controller ist ein spezialisierter Mikrocontroller auf Server-Motherboards mit privilegierter, isolierter Ausführungsumgebung unabhängig von CPU und OS.

BMC-Funktionen:

  • Remote Power On/Off

  • BIOS-Updates einspielen

  • Hardware-Monitoring

  • KVM-over-IP (Keyboard, Video, Mouse)

  • IPMI, Redfish, SMASH-Protokolle

Das Problem: BMC hat hochprivilegierte Rechte, läuft außerhalb der OS-Kontrolle und hat Zugang zu allen Server-Ressourcen.

Die Angriffsfläche

Protokoll-Vielfalt = Attack-Surface-Vielfalt:

  • IPMI (Port 623): Schwache Session-Randomisierung ermöglicht Session-Hijacking

  • SSH/SMASH (Port 22): Beschränkte Command-Shell

  • Web-Interface (HTTPS): Oft veraltete Frameworks

  • Redfish API: Unauthenticated RCE und Superuser-Zugang möglich

  • IKVM: Direkter GUI-Zugriff

Aktuelle Vulnerabilities – Ein Überblick

Supermicro BMC Signature Bypass (2024-2025)

Im Januar 2025 patchte Supermicro CVE-2024-10237, CVE-2024-10238 und CVE-2024-10239 – logische Schwachstellen in der Firmware-Validierung und Buffer Overflows.

Der Bypass: Angreifer konnten eine bösartige fwmap vor der originalen injizieren, wodurch signierte Regionen relocated wurden während der Digest konsistent blieb.

Noch schlimmer: CVE-2025-6198 ermöglichte das Umgehen des Root of Trust (RoT) – nur der Initial Bootloader wurde verifiziert, der Kernel nicht.

AMI MegaRAC "Lights Out Forever" (2023)

Eclypsium fand kritische Vulnerabilities in AMI MegaRAC BMC Software, genutzt von Millionen Geräten weltweit.

Impact:

  • Unauthenticated Remote Code Execution

  • Unauthorized Superuser-Access via Redfish

  • Remote Malware Deployment, Ransomware, Firmware-Implanting oder Bricking

  • Möglicher physischer Schaden durch Over-Voltage

  • Indefinite Reboot Loops

Das Datacenter-Szenario: In homogenen Datacenter-Umgebungen können Angreifer bösartige Befehle an jeden BMC im gleichen Management-Segment senden und alle Geräte in kontinuierliche Reboots zwingen.

NVIDIA's 18 Vulnerabilities (2025)

Das NVIDIA OSR Team reverse-engineerte BMC-Firmware ohne Source Code und fand 18 Vulnerabilities – von Credential-Handling-Flaws bis Memory Corruption.

Der Klassiker: IPMI-Authentication bleibt anfällig für Hash-Leak-Vulnerability von 2013 (CVE-2013-4786) – über 10 Jahre alt und immer noch präsent.

Warum BMCs unterschätzt werden

  1. "Out of sight, out of mind": Security-Teams fokussieren auf OS-Level

  2. Patch-Gap: BMC-Updates werden separat von OS/Firmware ausgeliefert

  3. Keine Standard-Mitigations: Stack Canaries, ASLR, NX-Stack nicht anwendbar

  4. Legacy-Code: Teils jahrzehntealte Codebasen

  5. EDR/AV blind: Traditionelle Tools wie EDR, IDS/IPS, Anti-Malware sind ineffektiv gegen kompromittierte BMCs

Abschließende Gedanken

Wir investieren Millionen in Next-Gen-Firewalls, XDR und SIEM. Aber wenn ein APT deine Firmware kompromittiert, ist das alles irrelevant. Du kannst das OS nicht patchen, wenn die Firmware bereits owned ist.

Die gute Nachricht: Diese Angriffe erfordern erhebliche Ressourcen und Expertise. Die schlechte Nachricht: APT-Gruppen haben beides.

Die Entdeckung von MoonBounce zeigt, dass APT41 trotz der Anklagen des US Department of Justice 2020 nicht aufgehört hat. Die Gruppe behält hohes Können und Sophistication in der Toolset-Entwicklung.

Bei der Recherche verwendete Ressourcen:

  • Kaspersky: "MoonBounce: The dark side of UEFI firmware"

  • ESET: "LoJax: First UEFI rootkit found in the wild"

  • Eclypsium: "BMC&C: Lights Out Forever"

  • Binarly: "Old But Gold: Decades-Old Attacks on BMC Security"

  • CISA/NSA: "Baseboard Management Controller Threat Guidance"

Bis nächste Woche ❤️
IPv5

Weiterlesen

© 2026 IPv5.
Report abusePrivacy policyTerms of use
beehiivPowered by beehiiv