End-of-Day report
Timeframe: Freitag 10-04-2026 18:00 - Montag 13-04-2026 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Alexander Riepl
News
Critical Marimo pre-auth RCE flaw now under active exploitation
A critical pre-authentication remote code execution (RCE) vulnerability in Marimo is now under active exploitation, leveraged for credential theft.
https://www.bleepingcomputer.com/news/security/critical-marimo-pre-auth-rce-flaw-now-under-active-exploitation/
Datenpanne: Angreifer missbrauchen frische Buchungsdaten von Booking.com
Bei der Reisebuchungsplattform Booking.com hat es offenbar einen Sicherheitsvorfall gegeben. Der Plattformbetreiber informiert seine Nutzer derzeit per E-Mail über einen möglichen Missbrauch ihrer Buchungsdaten. Es drohen Kontaktaufnahmeversuche sowie Zahlungsaufforderungen durch die Angreifer.
https://www.golem.de/news/datenpanne-angreifer-missbrauchen-frische-buchungsdaten-von-booking-com-2604-207488.html
Hungarian government creds left in the safe hands of FrankLampard
Hungary's government has discovered the hard way that the biggest threat to national security might just be its own password choices. An investigation by Bellingcat has uncovered close to 800 Hungarian government email and password pairings circulating in breach dumps, cutting across nearly every major ministry, from defense and foreign affairs to finance. [..] According to the analysis, officials were using their government email addresses to sign up for all sorts of third-party services, then reusing the same passwords across them. Once those sites were breached, the credentials ended up in the usual places.
https://go.theregister.com/feed/www.theregister.com/2026/04/11/hungary_government_logins_breach/
Supply-Chain Attacks, TP-Link devices & a pair of socks
March 2026 was intense for cybersecurity teams across the globe. Within a three-week window, the industry observed three application-security companies compromised in supply-chain attacks using the same vector: poisoned GitHub Actions. [...] During our investigation we discovered connections between the Xygeni compromise and a separate campaign targeting IoT devices, connections that had previously gone unreported.
https://ctrlaltintel.com/research/ProxyPCP/
Rockstar bestätigt Cyberangriff und Datendiebstahl
Die bekannte Cybercrime-Gruppe Shiny Hunters erpresst Rockstar Games auf ihrer Webseite. Rockstar bestätigt einen Cybervorfall. [..] Die Cybergang ShinyHunters erklärte auf ihrer Webseite, sie habe Rockstars Snowflake-Instanzen mithilfe des Drittanbieter-Tools AnoDot kompromittiert. [..] Und der Vorfall bei Rockstar Games ist möglicherweise die Folge eines Cyberangriffs auf AnoDot, ebenfalls ausgeführt von ShinyHunters.
https://www.heise.de/news/Rockstar-bestaetigt-Cyberangriff-und-Datendiebstahl-11253467.html
Finanzamt fordert Datenupdate? Achtung Phishingfalle!
Frühlingsbeginn heißt für viele: Zeit für den Steuerausgleich. Doch damit startet leider auch die Hochsaison für Kriminelle, die im Namen des Finanzministeriums Phishing-Nachrichten verbreiten.
https://www.watchlist-internet.at/news/finanzamt-fordert-datenupdate/
GitHub Copilot-Schwachstelle CVE-2025-59145 erlaubt Datenextraktion
Der in der Plattform GitHub von Microsoft integrierte Copilot sorgt mal wieder für Ärger. Es gab eine Schwachstelle CVE-2025-59145, die mit einem CVSS Score von 9.6 schon heftig ist. Über die Schwachstelle können Angreifer sensitive Daten von GitHub-Projekten extrahieren. Der Quellcode, API-Keys, Cloud-Geheimnisse, alles was in privaten GitHub-Repositories zu finden ist, konnte abgezogen werden. Die CamoLeak getaufte Schwachstelle CVE-2025-59145 wurde laut BlackFog im Oktober 2025 öffentlich bekannt.
https://borncity.com/blog/2026/04/11/github-copilot-schwachstelle-cve-2025-59145-erlaubt-datenextraktion/
Just 21 IP Addresses Are Now Behind Nearly Half of All RDP Scanning on the Internet
GreyNoise uncovers a concentrated RDP scanning campaign, revealing infrastructure patterns, rapid traffic shifts that impact detection, and recommendations for defenders.
https://www.greynoise.io/blog/ip-addresses-behind-nearly-half-rdp-internet-scanning
-ClickFix--Angriffe auf macOS jetzt auch via Script Editor
Wie Jamf Threat Labs in einer Analyse schreibt, locken die Angreifer ihre Opfer auf eine gefälschte Apple-Webseite, die vorgibt, dabei zu helfen, Speicherplatz auf dem Mac freizugeben. [..] Interessant dabei ist, dass die Installationskette dabei den Terminal-Paste-Schutz von macOS 26.4 umgeht. Apple hatte diese Schutzfunktion eingeführt, um Nutzer vor ClickFix-Angriffen zu warnen, wenn sie manipulierte Befehle ins Terminal einfügen, wobei das auch nicht immer funktioniert. Durch den Wechsel zu Script Editor wird dieser Mechanismus laut Jamf augenscheinlich ausgehebelt.
https://heise.de/-11251412
Inside Predator-s kernel engine
In our previous research, we documented how Predator spyware evades iOS anti-analysis checks and defeats iOS recording indicators. Those posts revealed what Predator does - but not how it achieves the deep system access required to do it. This post answers that question.
https://www.jamf.com/blog/predator-spyware-ios-kernel-exploitation-engine/
Vulnerabilities
Schwerwiegende Sicherheitslücke in Adobe Reader - Updates jetzt verfügbar
Update, 13.04.2026: Adobe hat inzwischen ein Sicherheitsupdate veröffentlicht welches das Problem behebt. Administrator:innen sind dringend angehalten dieses schnellstmöglich einzuspielen.
https://www.cert.at/de/aktuelles/2026/4/schwerwiegende-sicherheitslucke-in-adobe-reader-aktiv-ausgenutzt
SSL-Konfigurationsfehler gefährdet VMware Tanzu Spring Cloud Gateway
Die Entwickler geben an, die Schwachstelle (CVE-2026-22750 -hoch-) in Spring Cloud Gateway 4.2.1 (Enterprise Support Only) geschlossen zu haben. Bislang gibt es noch keine Hinweise auf Attacken.
https://www.heise.de/news/SSL-Konfigurationsfehler-gefaehrdet-VMware-Tanzu-Spring-Cloud-Gateway-11254291.html
LWN: Security updates for Monday
https://lwn.net/Articles/1067436/
Kubernetes: CVE-2026-3865
https://github.com/kubernetes/kubernetes/issues/138319