Threat Advisories

GitHub hat den unbefugten Zugriff auf etwa 3.800 seiner internen Entwicklungs-Repositories und deren Exfiltration bestätigt. Der Einbruch wurde von der finanziell motivierten Cybercrime-GruppeTeamPCPinszeniert, die eine trojanisierte Microsoft Visual Studio Code (VS Code)-Erweiterung ausnutzte, die auf dem Gerät eines privilegierten Mitarbeiters installiert war.

Microsofts Patch Tuesday-Update für Windows 10 vom Mai 2026, KB5087544, spiegelt die aktuelle Realität der Plattform wider. Windows 10 befindet sich jetzt in der Phase der erweiterten Sicherheitsupdates und wird nicht mehr durch neue Funktionen weiterentwickelt, aber es wird immer noch aktiv gesichert und gewartet. Dieses Update kombiniert eine große Anzahl von Schwachstellenbehebungen mit gezielten Änderungen an Remotedesktop und Secure Boot, die zeigen, wie Microsoft die Kontrolle über das Vertrauen und die Stabilität von Endpunkten verschärft.

Fortinet hat zwei kritische Schwachstellen in FortiSandbox und FortiAuthenticator bekannt gegeben, die eine unauthentifizierte Remotecodeausführung (RCE) auf ungeschützten Systemen ermöglichen könnten.

Trellix hat bekannt gegeben, dass auf internen Quellcode für Teile seines Produktportfolios unbefugt zugegriffen wurde. Das betroffene Material bezieht sich nur auf den Code für die Produktentwicklung und umfasst keine Kundenumgebungen oder Kundendaten. Es gibt keine Hinweise auf eine böswillige Veränderung der veröffentlichten Software-Artefakte.

CVE 2026 31431, allgemein bekannt als "Copy Fail", ist eine schwerwiegende lokale Schwachstelle für die Ausweitung von Berechtigungen, die den Linux-Kernel betrifft. Das Problem betrifft Kernel, die von allen größeren Linux-Distributionen seit 2017 ausgeliefert werden, und ermöglicht es einem lokalen, nicht privilegierten Benutzer, die Root-Ebene auf dem Host-System auszuführen.

Ende März 2026 behauptete ein unter dem Pseudonym "The_Auditors" operierender Angreifer, in das System von BlackLine Systems eingedrungen zu sein, einem in den USA ansässigen Anbieter von Software für Finanzautomatisierung und Buchhaltung. Der Angreifer behauptet, dass etwa 354 GB an sensiblen Finanz- und Betriebsdokumenten exfiltriert wurden, insgesamt über 1,5 Millionen Datensätze, die nicht nur BlackLine, sondern auch dessen Unternehmenskunden gehören. Zum Zeitpunkt der Erstellung dieses Artikels hat BlackLine den Verstoß nicht öffentlich bestätigt, und die Behauptungen bleiben unbestätigt. Mehrere Cybersecurity-Intelligence-Firmen haben die Anschuldigungen jedoch aufgrund mehrerer Indikatoren als glaubwürdig eingestuft.

Ein neuer und aktiver Angriff auf die npm-Versorgungskette wurde beobachtet, der kompromittierte Betreuer-Anmeldeinformationen missbraucht, um bösartigen Code über Pakete im Node.js-Ökosystem selbst zu verbreiten. Die Malware stiehlt Authentifizierungsmaterial (npm-Tokens, Cloud-Zugangsdaten, CI/CD-Geheimnisse, SSH-Schlüssel und Wallet-Daten) und nutzt alle entdeckten Publishing-Tokens, um sich in weitere Pakete desselben Maintainers einzuschleusen und so eine wurmartige seitliche Verbreitung zu erzeugen.

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat die aktive Ausnutzung einer hochgradig gefährlichen Schwachstelle für Remotecodeausführung (RCE) in Apache ActiveMQ Classic bestätigt, die als CVE-2026-34197 erfasst ist. Die Schwachstelle wurde in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen, was verifizierte böswillige Aktivitäten in freier Wildbahn signalisiert und die Priorität für Abhilfemaßnahmen für alle Organisationen erhöht, die betroffene Versionen von ActiveMQ verwenden.

Microsoft Exchange Server ist nach wie vor einwertvollesZiel für Bedrohungsakteure, da es eng mit den Identitätssystemen des Unternehmens, der E-Mail-Infrastruktur und privilegierten Dienstkonten verbunden ist. Schwachstellen bei der Remote-Code-Ausführung (RCE) in Exchange wurden in der Vergangenheit fürgroßangelegteSpionagekampagnen, die Bereitstellung von Ransomware und dauerhafte Zugriffsoperationengenutzt.

Google hat Notfall-Sicherheitsupdates veröffentlicht, die sich mit CVE20265281 befassen, einer schwerwiegenden (CVSS-Score: N/A), aktiv ausgenutzten Zero-Day-Lücke, die den Chrome-Browser betrifft.