Google behebt eilig eine aktiv ausgenutzte Zero-Day-Schwachstelle in Chrome

Google hat Notfall-Sicherheitsupdates veröffentlicht, um eine hochgefährliche Chrome-Schwachstelle zu beheben, die aktiv in freier Wildbahn ausgenutzt wird. Dies ist der erste Chrome-Zero-Day, der im Jahr 2026 gepatcht wurde. Bei der als CVE-2026-2441 bezeichneten Schwachstelle handelt es sich um eine Use-after-free-Schwachstelle, die durch einen Iterator-Invalidierungsfehler in der CSSFontFeatureValuesMap von Chrome verursacht wird. Das Problem wurde von dem Sicherheitsforscher Shaheen Fazim gemeldet.

Bei erfolgreicher Ausnutzung können Angreifer Browserabstürze, Rendering-Probleme, Datenbeschädigung oder anderes undefiniertes Verhalten auslösen. Google hat zwar bestätigt, dass die Sicherheitslücke tatsächlich ausgenutzt wird, hat aber keine weiteren Details bekannt gegeben und erklärt, dass der Zugang zu den Informationen über den Fehler eingeschränkt bleibt, bis die Mehrheit der Nutzer den Fix angewendet hat.

Der Patch wurde in stabile Chrome-Versionen für Windows, macOS und Linux zurückportiert, was die Dringlichkeit der Bedrohung unterstreicht. Google hat auch darauf hingewiesen, dass die Korrektur das unmittelbare Problem behebt, wobei weitere damit zusammenhängende Arbeiten noch andauern. Nutzern wird dringend empfohlen, Chrome so bald wie möglich zu aktualisieren, entweder manuell oder durch einen Neustart des Browsers, um die Updates automatisch anzuwenden.

DDoS-Attacke auf die Deutsche Bahn unterbricht digitale Bahndienste

Die Deutsche Bahn hat bestätigt, dass sie Ziel eines Cyberangriffs war, der wichtige digitale Dienste wie Reiseinformationen und Buchungssysteme gestört hat. Wie das Unternehmen mitteilte, wurden seine IT-Systeme am Dienstagmittag in mehreren Wellen von einer DDoS-Attacke (Distributed Denial of Service) heimgesucht, die die Online-Dienste auf der Website und die DB Navigator-App überforderte.

Die Deutsche Bahn bezeichnete das Ausmaß des Angriffs als beträchtlich und bestätigte, dass er gezielt durchgeführt wurde. Während viele DDoS-Angriffe oft als digitaler Vandalismus abgetan werden, können ihre Auswirkungen erheblich sein, wenn sie auf kritische nationale Infrastrukturen abzielen. Die Kunden wurden erstmals am Dienstagnachmittag über die Unterbrechung der Dienste informiert, wobei sich die Systeme bis zum Abend weitgehend stabilisierten. Am Mittwochmorgen traten weitere Probleme auf, die das Unternehmen später auf den laufenden Angriff zurückführte.

Die Deutsche Bahn erklärte, dass Abwehrmaßnahmen dazu beigetragen haben, die Auswirkungen auf die Kunden zu minimieren, und betonte, dass der Schutz der Kundendaten und die Verfügbarkeit der Dienste weiterhin oberste Priorität haben. Das Unternehmen arbeitet eng mit den deutschen Cybersicherheitsbehörden zusammen. Der Vorfall ereignet sich vor dem Hintergrund wiederholter Warnungen, dass die Verkehrsinfrastruktur ein Hauptziel für Cyber- und hybride Angriffe ist, insbesondere vor dem Hintergrund der zunehmenden geopolitischen Spannungen.

CISA nimmt vier aktiv ausgenutzte Schwachstellen in den KEV-Katalog auf

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) hat vier Schwachstellen in ihren Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen und davor gewarnt, dass alle Schwachstellen in freier Wildbahn aktiv ausgenutzt werden. Dies bedeutet ein erhöhtes Risiko für Unternehmen, die betroffene Software einsetzen.

Zu den neu hinzugefügten Schwachstellen gehört CVE-2026-2441, eine hochgradig gefährliche Use-after-free-Schwachstelle in Google Chrome, die über eine manipulierte HTML-Seite eine Beschädigung des Heaps ermöglichen kann. Die Aufnahme erfolgte, nachdem Google kürzlich bestätigt hatte, dass die Schwachstelle bereits ausgenutzt wird. Ebenfalls aufgeführt ist CVE-2024-7694, eine Schwachstelle in TeamT5 ThreatSonar Anti-Ransomware, die Angreifern das Hochladen bösartiger Dateien und die Ausführung von Systembefehlen ermöglichen könnte.

Die CISA wies auch auf CVE-2020-7796 hin, eine kritische SSRF-Schwachstelle in Zimbra Collaboration Suite, die zuvor mit weit verbreiteten Scanning- und Exploitation-Aktivitäten in Verbindung gebracht wurde, sowie auf CVE-2008-0015, eine ältere Windows-ActiveX-Schwachstelle, die zur Ausführung von Remote-Code und zur Verbreitung von Malware führen kann.

US-Bundesbehörden wurden aufgefordert, bis zum 10. März 2026 Korrekturen vorzunehmen, wobei allen Organisationen geraten wird, Patches und Schadensbegrenzung zu priorisieren, um die Gefährdung zu verringern.

Niederländischer Telekommunikationsdienstleister Odido: Daten von 6,2 Millionen Kunden offengelegt

Odido, der größte Telekommunikationsanbieter der Niederlande, hat einen Cyberangriff bestätigt, bei dem die persönlichen Daten von mehr als sechs Millionen Kunden preisgegeben wurden. Das Unternehmen entdeckte den Vorfall am 7. Februar und leitete mit Unterstützung von externen Cyberforensikern eine Untersuchung ein.

Der Angriff betraf ein Kundenkontaktsystem und führte zur Preisgabe umfangreicher personenbezogener Daten, darunter Namen, Adressen, Telefonnummern, E-Mail-Adressen, Kundennummern, IBANs, Geburtsdaten und Angaben zu amtlichen Ausweisen. Zwar wurde nicht auf Passwörter, Anrufaufzeichnungen, Standortdaten, Rechnungsinformationen oder Scans von Ausweisdokumenten zugegriffen, doch könnten die gestohlenen Daten für äußerst überzeugende Phishing-Kampagnen, Identitätsbetrug oder SIM-Swap-Angriffe verwendet werden.

Odido erklärte, dass der Betrieb des Unternehmens nicht gestört wurde und die Kunden ihre Mobilfunk-, Internet- und TV-Dienste weiterhin sicher nutzen können. Das Unternehmen hat schnell gehandelt, um den unbefugten Zugriff zu unterbinden, die Überwachung verstärkt, die betroffenen Kunden innerhalb von 48 Stunden benachrichtigt und den Vorfall der niederländischen Datenschutzbehörde gemeldet.

Der Vorfall verdeutlicht, warum Telekommunikationsanbieter aufgrund des Umfangs und der Sensibilität der bei ihnen gespeicherten Daten nach wie vor ein bevorzugtes Ziel für Cyberkriminelle sind.

Figure Breach enthüllt Daten von fast einer Million Fintech-Konten

Hacker haben nach einem Einbruch in die Systeme von Figure Technology Solutions, einem auf Blockchain basierenden Finanztechnologieunternehmen, die persönlichen Daten und Kontaktinformationen von fast einer Million Nutzern gestohlen. Figure hat den Vorfall zwar nicht öffentlich bekannt gegeben, aber das Unternehmen hat bestätigt, dass die Angreifer durch einen Social-Engineering-Angriff, bei dem ein Mitarbeiter dazu gebracht wurde, Zugang zu gewähren, auf eine begrenzte Anzahl von Dateien zugegriffen haben.

Laut dem Benachrichtigungsdienst Have I Been Pwned wurden später Daten von 967.200 Konten online gestellt. Zu den veröffentlichten Informationen gehören Namen, E-Mail-Adressen, Telefonnummern, Adressen und Geburtsdaten. Es wurde nicht bestätigt, dass Finanzdaten oder Passwörter kompromittiert wurden, aber die Daten reichen aus, um Identitätsbetrug und sehr gezielte Phishing-Angriffe zu ermöglichen.

Die Erpressergruppe ShinyHunters hat sich zu dem Vorfall bekannt und etwa 2,5 GB an Daten auf ihrer Dark-Web-Site veröffentlicht. Der Vorfall scheint mit einer breiteren Kampagne verbunden zu sein, die Voice-Phishing einsetzt, um Single-Sign-On-Konten zu kompromittieren, und verdeutlicht, dass Social Engineering selbst in hochgradig digitalisierten, sicherheitsbewussten Unternehmen weiterhin ein Risiko darstellt.

 Gestohlene Behörden-Zugangsdaten ermöglichten Zugriff auf 1,2 Millionen französische Bankkonten 

Französische Behörden haben bestätigt, dass ein Hacker mithilfe gestohlener behördlicher Zugangsdaten auf Daten von 1,2 Millionen Bankkonten zugegriffen hat. Dies teilte das Wirtschaftsministerium mit. Der Angriff richtete sich gegen eine nationale Datenbank mit Informationen zu bei französischen Banken geführten Konten und wurde Ende Januar entdeckt.

Mit den kompromittierten Zugangsdaten konnte der Angreifer personenbezogene Daten einsehen, darunter Bankkontonummern, Namen der Kontoinhaber, Adressen und in einigen Fällen Steueridentifikationsnummern. Die Behörden betonten, dass kein Zugriff auf Kontostände oder Transaktionen möglich war und es keine Hinweise auf einen Datenabfluss gibt. Nach der Entdeckung des Vorfalls wurde der unbefugte Zugriff umgehend unterbunden.

Betroffene Personen sollen in den kommenden Tagen informiert werden. Eine Strafanzeige wurde gestellt und der Vorfall der Datenschutzbehörde CNIL gemeldet. Die Urheberschaft des Angriffs ist derzeit noch unklar.

Wenn Sie über eine der in diesem Bulletin beschriebenen Bedrohungen besorgt sind oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst die zum Zeitpunkt der Veröffentlichung aktuellen Bedrohungsnachrichten zusammen, die wir beobachten. Sie sollten nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Zusammenhang mit Ihrer eigenen Organisation betrachtet werden. Integrity360 vertritt in den von uns verbreiteten Informationen keinen politischen Standpunkt. Außerdem müssen die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 sein.