ExpressVPN 12.73.0 fixt Schwachstelle CVE-2024-25728, die DNS-Anfragen an DNS-Betreiber verrät

Sicherheit (Pexels, allgemeine Nutzung)Meine Ratschlag ist ja, auf VPN-Netzwerke von Drittanbietern wie ExpressVPN, CyberGhos etc. zu verzichten oder sehr genau zu schauen, was man da so tut, da es in der Vergangenheit immer mal wieder Sicherheitsprobleme gab. In ExpressVPN wurde kürzlich die Schwachstelle CVE-2024-25728 bekannt, die unter Windows DNS-Anfragen an den Betreiber dieses DNS-Diensts verrät. Das Ganze wurde in der Version 12.73.0 von ExpressVPN 12.73.0 gefixt.


Anzeige

Nachfolgender Tweet weist auf die Schwachstelle CVE-2024-25728 hin, die in ExpressVPN vor der Version 12.73.0 besteht.

ExpressVPN CVE-2024-25728

ExpressVPN vor Version 12.73.0 sendet unter Windows, bei Verwendung von Split-Tunneling, DNS-Anfragen entsprechend der Windows-Konfiguration (z. B. an DNS-Server, die vom ISP des Benutzers betrieben werden, anstatt an die ExpressVPN-DNS-Server). Das kann es Angreifern ermöglichen, sensible Informationen über die von VPN-Benutzern besuchten Websites zu erhalten. Die Kollegen von Bleeping Computer haben das Thema in diesem Beitrag aufgegriffen und verweisen auf die ExpressVPN-Warnung After a tip, ExpressVPN acts swiftly to protect customers vom 8. Februar 2024.

Ist VPN das neue Flash?

Generell scheint mir das Thema VPN so etwas wie Adobe Flash in Bezug auf Schwachstellen und Einfallstor für Cyberangriffe zu sein. Kaum ein Tag, an dem nicht eine neue Schwachstelle in VPN-Produkten bekannt wird. Und viele Hacks der letzten Monate  wurden über gehackte VPN-Zugänge  durchgeführt. Nachfolgende Liste mit Links enthält die Auflistung einiger VPN-Grausamkeiten, die hier im Blog thematisiert wurden.


Anzeige

Bezüglich VPN-Anbieter für Privatnutzer, die "Privatsphäre versprechen" verweise ich einfach auf meinen Blog-Beitrag Früherer Malware-Vertreiber kauft ExpressVPN, CyberGhost und Co., der einen Blick "hinter die Kulissen" wirft.

Ergänzung: Die Entwickler wollen das Problem gefixt haben. Die neuesten Windows-Versionen (Version 12.74.0 und Version 10.51.0) sind jetzt verfügbar. Split-Tunneling ist laut diesem Beitrag wieder verfügbar.

Ähnliche Artikel:
Früherer Malware-Vertreiber kauft ExpressVPN, CyberGhost und Co.
21 Million VPN User Records durchgesickert; VPN am Ende?
Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit
Fortinet fixt kritischen RCE-Bug (CVE-2023-27997) in Fortigate SSL-VPNs (Juni 2023)
SonicOS SSLVPN: Schwachstelle CVE-2023-1101 bei MFA – neue Firmware für Gen6-Firewalls (6.5.4.12-101n)
SonicWall-Warnung: SSLVPN SMA1000-Bugs sofort patchen
VPN-Anbieter wie NordVPN und TorGuard wurden gehackt
Social Engineering und VPN-Zugang
Sicherheitsforscher warnt: VPNs auf iOS sind nicht privat
Rauscht der Edge mit seiner VPN-Funktion in eine DSGVO-Problematik?
Edge 108.0.1462.54 und mehr VPN-Volumen (15 GB), IE wird am 14. Feb. 2023 deaktiviert
Linux: Die ungepatchte Mozilla VPN-Schwachstelle
Hacker posten Admin-Credentials eines VPN-Anbieters in Telegram-Gruppe

 


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu ExpressVPN 12.73.0 fixt Schwachstelle CVE-2024-25728, die DNS-Anfragen an DNS-Betreiber verrät

  1. Karl sagt:

    Was sind denn VPN von nicht-Drittanbietern in dem Kontext? Einen VPN-Server irgendwo anonym selbst zu betreiben, über den nur der eigene Verkehr läuft? ;)

    • R.S. sagt:

      Beispielsweise auf einem Windows Server den VPN-Serverdienst aktivieren und konfigurieren und dann unter Windows 10/11 VPN einrichten.
      VPN geht mit Windows komplett ohne Drittanbieter und ohne Zusatztools.

      • Markus sagt:

        …ist die Frage, ob das dann mehr Sicherheit mit sich bringt.

        • R.S. sagt:

          Kommt drauf an.
          Aber man ist auf jeden Fall nicht von externen Diensten abhängig und hat die Sicherheit in eigener Hand.
          Und ein Dienstleister ist für Hacker lohnender als einzelne Firmen.

          • Karl sagt:

            Einen VPN Server (in dem Kontext des Artikel und des Anbieters) unter eigenem Namen ohne Mix zubetreiben, was ergibt _das_ genau für einen Sinn? Die Nutzer*innen streben doch eher danach ihre Verbindung zu verchleiern?

            • R.S. sagt:

              Das Netzwerksniffer den Datenverkehr nicht mitloggen können?
              Das ist nämlich der eigentliche Zweck eines VPNs.
              Die Datenübertragung findet in einem Tunnel statt, die Daten sind auf dem Übertragungsweg verschlüsselt.

              Um Verbindungen zu verschleiern nutzt man einen Proxy.
              VPN-Server von externen Anbietern sind beides: VPN-Server und Proxy.

              In größeren Firmen ist es auch nicht unüblich, verschiedene Standorte per VPN miteinander zu verbinden.
              Da braucht dann nichts verschleiert zu werden. Auch nicht, wenn man z.B. per VPN vom Homeoffice aufs Firmennetz zugreifen will.
              Im Gegenteil wird ein vernünftig konfigurierter selbst gehosteter VPN-Server Verbindungen von unbekannten Clients und/oder IPs ablehnen.

              Im Übrigen bringt auch die Fritzbox einen VPN-Server mit.
              Den passenden Client kann man sich bei AVM herunterladen.

  2. Anonym sagt:

    > Was sind denn VPN von nicht-Drittanbietern in dem Kontext?

    Auf die Schnelle, ich muss zur Arbeit: S. https://www.ncsc.gov.uk/collection/device-security-guidance/infrastructure/virtual-private-networks, Abschnitt "Integrated vs third-party VPN clients".

  3. Adrian W. sagt:

    Nein: Chrome, Edge und alles Zeugs von Adobe und WordPress Plugins/Themes sind das neue Flash :-)

Schreibe einen Kommentar zu Anonym Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.