Partner Login

Monthly Threat Report September 2025

SaaS-Lieferkettenangriffe und Schatten-KI

Author: Security Lab / 09.09.2025 /
Home » Blog » Monthly Threat Report September 2025

Einleitung

Der Monthly Threat Report von Hornetsecurity bietet Ihnen Einblicke in M365-Sicherheitstrends, E-Mail-basierte Bedrohungen sowie Kommentare zu aktuellen Entwicklungen im Bereich der Cybersicherheit. Diese Ausgabe des Monthly Threat Reports konzentriert sich auf Branchenereignisse und Inhalte aus dem August 2025.

Zusammenfassung

  • Microsoft schränkt die Nutzung von .onmicrosoft.com-Domains ein und schließt damit einen Vektor, der lange Zeit für Phishing und Spam missbraucht wurde.
  • Der Drift-OAuth-Kompromittierungsfall bei Salesloft zeigt, wie gefährlich Vertrauen in SaaS-Lieferketten sein kann.
  • Die Zero-Day-Schwachstelle in WinRAR beweist, dass veraltete Software weiterhin ein beliebtes Ziel für reale Angriffe ist. Patchen Sie, statt aufzuschieben.
  • Die Sicherheitslücke in Cisco Secure Firewall FMC verdeutlicht, warum Management-Ebenen bevorzugte Angriffsziele sind.
  • SharePoint und Exchange On-Premises stehen erneut im Fokus – gehen Sie von einer Kompromittierung aus, wenn keine Updates eingespielt wurden.
  • Der Aufstieg von DeepSeek zeigt, wie der Hype um KI mit Datenschutzrisiken kollidiert und Regulierungsbehörden zum Handeln zwingt.
  • Ausblick: SaaS-Konnektoren, Schatten-KI und synthetischer Identitätsbetrug werden die Bedrohungslandschaft in Zukunft prägen.

Bedrohungsüberblick und Branchenereignisse

Microsoft schränkt .onmicrosoft-Domains ein

Ende August kündigte Microsoft eine bedeutende Richtlinienänderung für seine älteren .onmicrosoft.com-Domains an. Bisher konnten Mandanten diese standardmäßig von der Cloud bereitgestellten Domains für ausgehende E-Mails nutzen, was von Angreifern zunehmend für Phishing und Spam missbraucht wurde. Ab diesem Herbst wird der ausgehende Datenverkehr von diesen Domains auf 100 externe Empfänger pro Tag und Organisation begrenzt. Damit werden .onmicrosoft.com-Domains faktisch für Massenkommunikation unbrauchbar. Microsoft stellt klar: Wer geschäftliche E-Mails versenden möchte, muss die eigene Domain verifizieren und konfigurieren. Die Auswirkungen dürften überschaubar sein, da die meisten Sicherheitsteams diesen Angriffsvektor schon vor einiger Zeit eingeschränkt haben. Dennoch nutzen viele Organisationen .onmicrosoft.com-Domains weiterhin für abonnementsbezogene Kommunikation in M365, die nun von der neuen Beschränkung betroffen sein dürfte.

Warum ist das wichtig?

Hier geht es weniger um eine Einschränkung der Bequemlichkeit, sondern vielmehr darum, sichere Identifizierungspraktiken zu erzwingen. Organisationen, die noch nicht vollständig auf eigene Domains umgestiegen sind, werden betroffen sein, und Bedrohungsakteure verlieren eine weitere einfache Möglichkeit zur Identitätsfälschung.

Salesloft / Drift OAuth-Lieferkettenvorfall

Ein Kompromittierungsfall in der Lieferkette rund um die Drift-Integration von Salesloft erschütterte in diesem Monat zahlreiche Salesforce-Kunden. Laut The Hacker News wurden mit Drift verknüpfte OAuth-Tokens entwendet, die unautorisierten Zugriff auf sensible Salesforce-Daten ermöglichten. Zscaler, Google und andere bestätigten die Offenlegung und zeigten damit, wie stark sich eine einzige SaaS-Integration auf das gesamte Ökosystem auswirken kann. Der Vorfall verdeutlicht eindrücklich, wie schwer Sicherheit im modernen Cloud-Ökosystem und in Software-as-a-Service-Anwendungen tatsächlich umzusetzen ist. Vertrauensketten von SaaS zu SaaS sind inzwischen ebenso attraktive Ziele wie Software-Lieferketten in On-Premises-Umgebungen.

Warum ist das wichtig?

OAuth-Integrationen sind allgegenwärtig, oft mit weitreichenden Berechtigungen und geringer Aufsicht. Ein einzelner Kompromittierungsfall auf Anbieterseite kann sich auf Dutzende hochsensibler Umgebungen auswirken, traditionelle Sicherheitskontrollen umgehen – und Bedrohungsakteure wissen das.

Patch Tuesday August 2025 – 107 CVEs

Microsofts Patch Tuesday im August war ein umfangreiches Update: Insgesamt wurden 107 Schwachstellen geschlossen, darunter 13 kritische Lücken und eine bereits aktiv ausgenutzte Zero-Day-Schwachstelle. Die Patches betrafen Windows-, Office- und Azure-Komponenten, mit besonders gravierenden Möglichkeiten zur Remote Code Execution in Excel und SharePoint. Das Ausmaß macht dieses Update zu einem der umfangreicheren des Jahres und unterstreicht den Trend, dass Administratoren mitten im Quartal mit massiven Patch-Lasten konfrontiert werden.

Warum ist das wichtig?

Das enorme Volumen in Kombination mit kritischen RCE-Schwachstellen erhöht das Risiko von Patch-Müdigkeit. Organisationen, die mit Updates hinterherhinken, könnten große Angriffsflächen offenlassen und damit opportunistischen Angreifern Tür und Tor öffnen.

WinRAR Zero-Day wird aktiv ausgenutzt (CVE-2025-8088)

Archivierungssoftware bleibt weiterhin ein bevorzugtes Spielfeld für Angreifer – und manchmal auch selbst Ziel, wie es scheint. Forscher bestätigten, dass WinRAR von einer Path-Traversal-Schwachstelle betroffen war, die Remote Code Execution über manipulierte Archive ermöglicht. Unter der Bezeichnung CVE-2025-8088 wurde die Lücke bereits in realen Kampagnen ausgenutzt. Der Hersteller reagierte mit einem Update auf WinRAR 7.13, doch angesichts der riesigen Installationsbasis auf einer Vielzahl unterschiedlicher Systeme dürfte die Verbreitung des Patches nur langsam vorankommen.

Warum ist das wichtig?

WinRAR ist nach wie vor allgegenwärtig in IT-Ökosystemen und wird oft nicht als Teil der klassischen Angriffsfläche betrachtet. Genau diese Kombination macht die Schwachstelle zu einem dauerhaften Angriffsvektor, bis Organisationen das Einspielen von Updates konsequent durchsetzen.

Cisco Secure Firewall FMC – Kritische RCE

Cisco hat eine Schwachstelle mit höchster Schwere in seinem Secure Firewall Management Center (FMC) offengelegt (CVE-2025-20265). Die Sicherheitslücke befindet sich im RADIUS-Subsystem und könnte es einem nicht authentifizierten Angreifer ermöglichen, beliebige Befehle auf dem zugrunde liegenden System auszuführen. Cisco hat Patches bereitgestellt und Gegenmaßnahmen veröffentlicht, warnte jedoch, dass die Ausnutzung für entschlossene Akteure trivial sei. Da die FMC-Plattform Firewall-Bereitstellungen im großen Maßstab verwaltet, steigt das Risiko für alle, die mit dem Patchen in Rückstand geraten.

Warum ist das wichtig?

Management-Plattformen stellen eine Art „Schlüssel zum Königreich“ dar. Ein Kompromittierungsfall betrifft hier nicht nur ein einzelnes Gerät, sondern gefährdet sämtliche nachgelagerte Firewalls und Richtlinien im Unternehmen – und macht diese Plattformen damit zu bevorzugten Zielen für Angreifer.

Aus dem Hornetsecurity-Blog

SharePoint- und Exchange-Schwachstellen – Déjà-vu auf ein Neues

Wenige Dinge bringen CISOs so ins Schwitzen wie ein ungepatchter Microsoft-Server an der Perimetergrenze. In diesem Sommer rückte SharePoint Server ins Rampenlicht, nachdem die ToolShell-Schwachstelle, die erstmals bei Pwn2Own aufgedeckt wurde, rasch in realen Angriffen ausgenutzt wurde. Angreifer verschwendeten keine Zeit: Mit China in Verbindung gebrachte Gruppen wie Linen Typhoon, Violet Typhoon und Storm 2603 machten die Lücke nutzbar, um geistiges Eigentum zu stehlen, Spionage zu betreiben und sogar Ransomware über Gruppenrichtlinien einzuschleusen. Zu den prominenten Opfern zählten das US-Heimatschutzministerium, die National Institutes of Health und die National Nuclear Security Administration. Das zeigt deutlich, dass es sich hier nicht nur um eine lästige Schwachstelle, sondern um ein globales Sicherheitsereignis handelte.

Und kaum hatten Verteidiger die Gelegenheit, durchzuatmen, brachte Black Hat 2025 weitere schlechte Nachrichten: Eine kritische Exchange-Server-Schwachstelle (CVE-2025-53786) tauchte erneut auf und setzte Tausende hybrider Installationen einem Risiko aus. Erneut verdeutlichten Angriffsketten, dass On-Premises-Umgebungen nach wie vor eine Schwachstelle in der Unternehmenssicherheit darstellen. Bundesbehörden wurden sogar per Notfall-Direktive zum sofortigen Patchen verpflichtet – ein Beleg dafür, dass Regulierungsstellen diese Vorfälle als systemische Risiken und nicht nur als IT-Probleme betrachten.

Lesen Sie den vollständigen Artikel hier!

DeepSeek AI – Der Hype, die Schwachstellen und die harte Realität

Der kometenhafte Aufstieg von DeepSeek an die Spitze der App-Store-Charts wurde nur von der Geschwindigkeit der Gegenreaktionen übertroffen. Sicherheitsforscher entdeckten ungeschützte Datenbanken, offengelegte Klartext-Chatprotokolle, API-Schlüssel und Backend-Details – ein deutlicher Hinweis darauf, dass die Plattform ohne grundlegende Sicherheitsstandards veröffentlicht wurde. Hinzu kommt eine Datenschutzerklärung, die offen Tastenanschlags-Biometrie, Geräteinformationen und Chatverläufe sammelt, die alle in China gespeichert werden. Das ist ein Rezept für globale regulatorische Alarmmeldungen. Italiens Datenschutzbehörde hat den Dienst bereits verboten und weitere EU-Regulierungsstellen stehen in den Startlöchern.

Besonders heikel ist in diesem Fall die Illusion der Anonymität. Durch Tastenanschlags-Biometrie können Nutzer eindeutig identifiziert werden, wodurch Vorteile der Privatsphäre von VPNs oder pseudonymen Konten zunichte gemacht werden. Kombiniert man dies mit der Tatsache, dass DeepSeek bei mehr als der Hälfte der Jailbreak-Tests von Qualys durchfiel, wird das Tool zum zweischneidigen Schwert: Auf der einen Seite leistungsstarke KI-Fähigkeiten, auf der anderen eine eklatante Sicherheitslücke. Für Unternehmen ist die Lehre eindeutig: Die Begeisterung für die Einführung von KI MUSS mit strengen Risikoanalysen zu Anbietern einhergehen – insbesondere dann, wenn Datenhoheit und Compliance auf dem Spiel stehen.

Lesen Sie den vollständigen Artikel hier!

Prognosen für die kommenden Monate

  • Mehr Vorfälle in der Lieferkette
    Der Salesloft-Drift-Vorfall wird nicht der letzte gewesen sein. Angreifer werden SaaS-Konnektoren und OAuth-Vertrauenskette zunehmend ausnutzen, insbesondere solche mit Verbindungen zu Salesforce, M365 und Google Workspace.
  • Zunehmende Auseinandersetzungen um KI und Datenschutz
    Es ist mit weiteren regulatorischen Verboten und Untersuchungen gegen KI-Dienste zu rechnen, die biometrische Daten sammeln oder nicht DSGVO-konform arbeiten. DeepSeek dürfte nur der erste von mehreren hochkarätigen Datenschutzskandalen im Bereich KI sein.
  • Weitere Zero-Day-Schwachstellen in Legacy-Software
    WinRAR zeigt erneut, dass Angreifer die „verstaubten Ecken“ der IT lieben. Neue Kampagnen gegen PDF-Reader, Archivierungsprogramme und sogar Druckertreiber sind zu erwarten, da dort die Patch-Disziplin oft am schwächsten ist.
  • Härtere staatliche Vorgaben
    Die Notfall-Direktive der CISA zu Exchange ist ein Vorgeschmack auf das, was kommt. Da kritische Infrastrukturen zunehmend ins Visier geraten, werden Behörden strengere Patch-Deadlines verhängen und mögliche Sanktionen bei Nichteinhaltung einführen.
  • Microsofts Domain-Richtlinie ist nur der Anfang
    Die Einschränkung des ausgehenden E-Mail-Verkehrs über .onmicrosoft.com-Domains wird sich auf andere Standard- oder Legacy-Konfigurationen ausweiten. Ähnliche Maßnahmen innerhalb von M365 sind zu erwarten, um Missbrauch einzudämmen und Best Practices durchzusetzen.
  • Schnellerer Rückgang hybrider Infrastrukturen
    Nach den wiederholten Krisen rund um SharePoint und Exchange werden viele Organisationen ihre Cloud-Migration beschleunigen. On-Premises-Umgebungen lassen sich sowohl technisch als auch strategisch kaum noch verteidigen.
  • Zunahme von Deepfakes und synthetischem Identitätsbetrug
    Da KI-Werkzeuge leicht verfügbar sind, werden Angreifer noch stärker auf Täuschungs- und Betrugskampagnen setzen. Angriffe mit biometrischen Methoden sowie synthetische Identitäten werden zunehmend zu einem erheblichen Risiko für Unternehmen.

Monatliche Empfehlungen

  • Patchen Sie SharePoint- und Exchange-Server sofort
    Wenn Ihre Organisation noch On-Premises-SharePoint oder hybride Exchange-Server betreibt, sollten Sie von einer Kompromittierung ausgehen, falls Patches nicht am ersten Tag eingespielt wurden. Befolgen Sie Microsofts aktualisierte Maßnahmen zur Minderung des Risikos und prüfen Sie auf Persistenzmechanismen wie kompromittierte ASP.NET-Maschinenschlüssel. Ziehen Sie im Zweifel forensische Unterstützung hinzu.
  • Priorisieren Sie WinRAR-Updates
    CVE-2025-8088 wird aktiv ausgenutzt. Erzwingen Sie ein Upgrade auf WinRAR 7.13 oder neuer auf allen Endgeräten und überwachen Sie verdächtige Aktivitäten mit Archiven. Legacy-Software, die „nur in einer Abteilung“ genutzt wird, ist eine tickende Zeitbombe.
  • Überprüfen Sie SaaS-OAuth-Integrationen
    Der Lieferkettenvorfall rund um Salesloft Drift zeigt, dass Drittanbieter-SaaS-Konnektoren zu Vorfällen in Salesforce- oder M365-Umgebungen führen können. Prüfen Sie bestehende OAuth-Berechtigungen, widerrufen Sie alles, was nicht aktiv genutzt wird, und erzwingen Sie das Prinzip der minimalen Rechtevergabe.
  • Sichern Sie Management-Plattformen ab
    Die Sicherheitslücke in Cisco Secure Firewall FMC verdeutlicht die Gefahren offengelegter Management-Ebenen. Patchen Sie umgehend, beschränken Sie den Zugriff auf vertrauenswürdige IP-Adressen und erwägen Sie eine Netzwerksegmentierung für alle administrativen Schnittstellen.
  • Halten Sie Patch Tuesday aktuell
    Mit über 100 behobenen CVEs allein im August ist eine schnelle Bereitstellungspipeline für Microsoft-Updates unerlässlich. Testen Sie dort, wo es nötig ist, aber lassen Sie keine „Patch-Müdigkeit“ entstehen, die ausnutzbare Lücken schafft.
  • Behandeln Sie KI-Tools als Hochrisikoanbieter
    DeepSeeks offengelegte Datenbanken und invasive biometrische Datenerfassung sollten ein Weckruf sein. Etablieren Sie formale Prozesse zur Prüfung von KI-Anbietern, blockieren Sie nicht genehmigte LLM-Dienste an der Firewall und sensibilisieren Sie Mitarbeiter für die Risiken von Schatten-KI.
  • Bewerten Sie Ihre Strategie zur Security Awareness neu
    Sowohl SaaS-Lieferkettenvorfälle als auch die Popularität von DeepSeek hängen stark vom Verhalten der Endnutzer ab. Erweitern Sie Awareness-Trainings um Themen wie OAuth-Phishing, Datenschutzrisiken bei KI und gefährliche Dateiformate wie manipulierte Archive.

Über Hornetsecurity

Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs in mehr als 120 Ländern aktiv. Seine Premium-Dienste werden von mehr als 125.000 Kunden genutzt.  

Dies könnte Sie auch interessieren